Attacking Oracle with the Metasploit Framework Shmoocon Firetalk Demo Video from carnal0wnage on Vimeo.
Een nieuwe Metasploit tool maakt het eenvoudig om in te breken in Oracle databases. Zelfs scriptkiddies kunnen zo de was doen.
Op de Black Hat conferentie die vanaf zaterdag in Las Vegas wordt gehouden, zal Chris Gates een presentatie houden die hij 'Breaking the "Unbreakable" Oracle' heeft genoemd. Daarin gaat hij de Metasploit tool onthullen waarmee iedereen een Oracle databases binnen kan komen. Al in februari liet Gates in een video (zie ook hieronder) zien hoe de aanval in zijn werk gaat.
Metasploit is een open source project dat “nuttige informatie verstrekt aan mensen die penetratietests uitvoeren, ontwikkelen aan IDS signature en onderzoek doen naar exploits.” De tools die op de site staan zijn alleen bedoeld voor onderzoek en tests, maar niemand kan voorkomen dat scriptkiddies de tools gaan gebruiken.
Voor iedereen
De tool die komende week zal worden onthuld, kan door iedereen zonder enige kennis van zaken worden gebruikt en dus misbruikt. Oracle heeft al wel patches uitgebracht die het lek dichten dat door de tool wordt gebruikt.
Maar het is bekend dat Oracle niet de makkelijkste software is om te patchen. Het installeren van Oracle-patches op productiessystemen is een complexe en tijdrovende zaak, waarmee behoorlijk wat downtime is gemoeid. Daardoor wordt het voor het gemak vaak overgeslagen.
Bron: Techworld.nl