Esteban Martinez Fayo นักวิจัยด้านความปลอดภัยของบริษัท AppSec ได้นำเสนอช่องโหว่ใหม่ที่เกิดขึ้นบนโปรโตคอลที่ใช้ในการล็อกอินของ Oracle DB ที่จะช่วยให้ผู้ใช้ช่องโหว่นี้ในการโจมตีสามารถเข้าถึงฐานข้อมูลได้ผ่านทางการโจมตีแบบ bruce-force attack โดยช่องโหว่นี้เกิดขึ้นได้เพียงแค่ผู้โจมตีรู้ถึงชื่อผู้ใช้งานที่ถูกต้องของฐานข้อมูลและชื่อของฐานข้อมูล

หลักการของช่องโหว่นี้คือระบบพิสูจน์ตัวตนของฐานข้อมูลจะส่ง session key และ salt มาก่อนที่การพิสูจน์ตัวตนจะเสร็จสิ้น ซึ่งถ้าผู้โจมตีสามารถปิดการเชื่อมต่อได้ทันทีหลังจากได้รับ session key ระบบก็จะไม่สามารถเก็บล็อกไฟล์จากการพยายามล็อกอินครั้งนั้นได้เพราะถือว่าเป็นการล็อกอินที่ยังไม่เสร็จสิ้น หลังจากนั้นผู้โจมตีก็จะทำการ bruce-force attack กับตัว session key เพื่อให้ได้มาซึ่งรหัสผ่าน

Fayo กล่าวเพิ่มเติมเกี่ยวกับช่องโหว่นี้ว่าเป็นข้อบกพร่องในการเข้ารหัสลับของระบบพิสูจน์ตัวตนของฐานข้อมูล อีกทั้งยังบอกด้วยว่าการที่จะได้มาซึ่งข้อมูลเช่นชื่อผู้ใช้งานหรือชื่อของฐานข้อมูลนั้นไม่จำเป็นต้องใช้ man-in-the-middle attack หรือการ spoof ใดๆ เลย เพราะฐานข้อมูลมีจุดที่ข้อมูลเหล่านี้รั่วไหลออกมาอยู่แล้ว ในการทดสอบนั้น Fayo ใช้เพียงสคริปต์ที่เขาพัฒนาขึ้นและคอมพิวเตอร์ทั่วไปโดยใช้เวลาในการโจมตีทั้งหมด 5 ชั่วโมง ผลลัพธ์ก็คือ เขาสามารถล็อกอินเข้าสู่ชื่อผู้ใช้งานนั้นๆ ได้ทันที

ช่องโหว่นี้ได้รับการแพตซ์แล้วในเวอร์ชัน 12 แต่ยังพบในเวอร์ชัน 11.1 อยู่

ที่มา - Threatpost