Non bastassero i problemi con Java , Oracle deve ora far fronte a una nuova potenziale “minaccia” alla sicurezza delle sue tecnologie. Nella fattispecie il problema questa volta riguarda il sistema di login per l’accesso ai database, affetto da una vulnerabilità potenzialmente semplice da sfruttare.
Presente nelle release 1 e 2 del sistema di management Oracle Database 11g, la falla viene definita “Oracle stealth password cracking vulnerability” dai ricercatori e consiste in una non corretta gestione delle chiavi di sessione inviate ogni qualvolta un utente prova a fare il login sul sistema.
La chiave di sessione “spiffera” un hash crittografico usato per oscurare la password di accesso connessa ad un account utente, e una volta ottenuto tale hash è possibile procedere alla decrittazione con attacchi di forza bruta che non occupano più di cinque ore (su CPU standard) per password alfabetiche lunghe 8 caratteri.
Basta dunque conoscere un nome utente valido e sarebbe teoricamente possibile penetrare all’interno del database Oracle di una qualsiasi azienda, suggeriscono i ricercatori. Il problema è già stato risolto a partire dalla release 12 del software, posto che l’amministratore di sistema decida di servirsi del nuovo sistema di autenticazione.
Al momento Oracle non sembra intenzionata a chiudere la vulnerabilità sulle versioni precedenti del suo sistema di management, mentre i ricercatori sottolineano la necessità di adottare password lunghe e complesse per rendere impraticabile i tentativi di attacco a forza bruta da parte di malintenzionati.
Alfonso Maruccia