Trong cấu trúc cơ sở dữ liệu (CSDL) của Oracle thì Listener là một tiến trình mạng của CSDL Oracle. Nó chờ đợi các yêu cầu kết nối từ máy ở xa. Nếu tiến trình này bị tổn hại thì có thể ảnh hưởng đến sự sẵn sàng của CSDL.
Mô tả vấn đề
Listener trong CSDL Oracle được coi là cổng vào cho các kết nối từ xa đến một CSDL Oracle. Nó lắng nghe yêu cầu kết nối và xử lý chúng cho phù hợp. Theo mặc định, Listener lắng nghe trên cổng 1521 (cổng 2483 là cổng đăng ký chính thức mới TNS Listener và 2484 cho TNS Listener sử dụng SSL). Nếu Listener "tắt" thì truy cập từ xa vào CSDL sẽ ngừng. Nếu trường hợp này xảy ra, ứng dụng ngừng, tức là tạo ra một cuộc tấn công từ chối dịch vụ.
Khai thác thông tin CSDL Oracle qua Listener
Khi khám phá cổng trên đó Listener hoạt động, người ta có thể đánh giá Listener bằng cách chạy một công cụ được phát triển bởi Integrigy:
Công cụ ở trên kiểm tra thông tin sau đây:
Mật khẩu Listener. Trên nhiều hệ thống Oracle, mật khẩu Listener có thể không được thiết lập. Công cụ ở trên xác minh điều này. Nếu mật khẩu không được thiết lập, một kẻ tấn công có thể thiết lập mật khẩu và chiếm quyền điều khiển Listener, mặc dù mật khẩu có thể được gỡ bỏ tại cục bộ bằng cách chỉnh sửa tập tin listener.ora.
Kích hoạt tính năng logging. Các công cụ ở trên cũng kiểm tra xem nếu logging đã được kích hoạt. Nếu không, người ta không phát hiện bất kỳ thay đổi cho Listener hoặc có một bản ghi của nó. Ngoài ra, phát hiện các cuộc tấn vét cạn vào Listener sẽ không được ghi lại.
Hạn chế quản trị. Nếu hạn chế quản trị không được kích hoạt, có thể sử dụng lệnh "SET" từ xa.
Ví dụ. Nếu bạn tìm thấy một cổng TCP/1521 mở trên một máy chủ, và Listener Oracle chấp nhận kết nối từ bên ngoài. Nếu Listener không được bảo vệ bởi một cơ chế xác thực, hoặc nếu bạn có thể tìm thấy dễ dàng thông tin xác thực, thì có thể khai thác lỗ hổng này để liệt kê các dịch vụ Oracle. Ví dụ, bằng cách sử dụng lsnrctl.exe. (Có trong tất cả các bản cài đặt Oracle client), bạn có thể có được kết quả như sau:
TNSLSNR for 32-bit Windows: Version 9.2.0.4.0 - Production
TNS for 32-bit Windows: Version 9.2.0.4.0 - Production
Oracle Bequeath NT Protocol Adapter for 32-bit Windows: Version 9.2.0.4.0 - Production
Windows NT Named Pipes NT Protocol Adapter for 32-bit Windows: Version 9.2.0.4.0 - Production
Windows NT TCP/IP NT Protocol Adapter for 32-bit Windows: Version 9.2.0.4.0 - Production,,
SID(s): SERVICE_NAME = CONFDATA
SID(s): INSTANCE_NAME = CONFDATA
SID(s): SERVICE_NAME = CONFDATAPDB
SID(s): INSTANCE_NAME = CONFDATA
SID(s): SERVICE_NAME = CONFORGANIZ
SID(s): INSTANCE_NAME = CONFORGANIZ Trong ví dụ này mô tả cách thông qua Listener lấy quyền quản trị CSDL Oracle 9i The Oracle Listener cho phép liệt kê tài khoản người dùng mặc định trên Oracle Server:
User name Password
OUTLN OUTLN
DBSNMP DBSNMP
BACKUP BACKUP
MONITOR MONITOR
PDB CHANGE_ON_INSTALL Trong trường hợp này, chúng ta không tìm thấy tài khoản có quyền DBA, nhưng tài khoản OUTLN và BACKUP giữ một quyền cơ bản: EXECUTE ANY PROCEDURE. Điều này có nghĩa rằng nó là có thể thực hiện bất kỳ thủ tục nào, ví dụ như sau:
exec dbms_repcat_admin.grant_admin_any_schema('BACKUP');
Thực hiện lệnh này cho phép một người nhận được quyền DBA. Bây giờ người dùng có thể tương tác trực tiếp với DB và thực thi, ví dụ:
select * from session_privs;
Đầu ra là các ảnh chụp màn hình sau đây:
Vì vậy, người dùng bây giờ có thể thực hiện rất nhiều hoạt động, cụ thể là: DELETE ANY TABLE và DROP ANY TABLE.
Tấn công từ chối dịch vụ
Một vấn đề khác liên quan đến tấn công từ chối dịch vụ Listener của Oracle 9i trở về trước nhưng nếu không chú ý có thể bị ở Oracle phiên bản 10g trở về sau. Trước đây, Oracle 9i cho phép chạy lệnh lsnrctl.exe từ xa để tắt hoặc mở dịch vụ Listener. Lý do là thông số LOCAL_OS_AUTHENTICATE_LISTENER mặc định ở chế độ OFF. Chế độ này cho phép lệnh lsnrctl.exe từ xa không cần xác thực cục bộ tại máy chủ Oracle. Thông số này được điều chỉnh mặc định ở chế độ ON trong Oracle 10g trở về sau, nên dùng lsnrctl.exe từ xa phải xác thực tại máy chủ, do đó cách này không dùng được từ Oracle 10g trở lên trừ trường hợp khai báo thông số trên ở chế độ OFF.
Để thử nghiệm, ta có thể khai báo trong file listener.ora như sau:
LOCAL_OS_AUTHENTICATE_LISTENER=OFF
Khởi động lại Listener, sau đó từ xa dùng lệnh:
Lsnrctl.exe stop <IP address>
Với IP address là địa chỉ máy chủ Oracle.
Kinh nghiệm: nên thiết lập mật khẩu Listener:
Nhiều khai thác thông thường được thực hiện do mật khẩu Listener không được thiết lập. Bằng cách kiểm tra các file listener.ora, người ta có thể xác định mật khẩu được thiết lập không.
Mật khẩu có thể được thiết lập bằng tay bằng cách chỉnh sửa file listener.ora. Điều này được thực hiện bằng cách chỉnh sửa như sau: PASSWORDS_ <listener name>. Vấn đề này với phương pháp này hướng dẫn sử dụng là mật khẩu được lưu trữ ở dạng văn bản thuần túy, và có thể được đọc bởi bất cứ ai có thể truy cập các tập tin listener.ora. Một cách an toàn hơn là sử dụng các công cụ LSNRCTL và gọi lệnh change_password.
LSNRCTL for 32-bit Windows: Version 9.2.0.1.0 - Production on 24-FEB-2004 11:27:55
Copyright (c) 1991, 2002, Oracle Corporation. All rights reserved.
Welcome to LSNRCTL, type "help" for information.
LSNRCTL> set current_listener listener
Current Listener is listener
LSNRCTL> change_password
Old password:
New password:
Re-enter new password:
Connecting to <ADDRESS>
Password changed for listener
The command completed successfully
LSNRCTL> set password
Password:
The command completed successfully
LSNRCTL> save_config
Connecting to <ADDRESS>
Saved LISTENER configuration parameters.
Listener Parameter File D:\oracle\ora90\network\admin\listener.ora
Old Parameter File D:\oracle\ora90\network\admin\listener.bak
The command completed successfully
LSNRCTL>
Tham khảo
http://www.integrigy.com/security-resources/whitepapers/Integrigy_Oracle_Listener_TNS_Security.pdf
http://www.jammed.com/%7Ejwa/hacks/security/tnscmd/tnscmd-doc.html
http://www.quest.com/toad
(Giảng viên Nguyễn Song Tùng - Tham khảo OWASP) |
Đăng nhận xét