Обнаруженная уязвимость позволяет хакерам получить удаленный доступ к секретной информации предприятий и госучреждений.
Эксперт рассказал об уязвимости в рамках своего выступления на конференции Black Hat, проходящей в Вашингтоне. Дэвид Литчфилд утверждает, что для установления полного контроля над базой атакующему не нужны пользовательские реквизиты и пароли. Более того, никакие межсетевые экраны не способны остановить злоумышленника.
Руководство Oracle было поставлено в известность о выявленной проблеме еще в ноябре прошлого года. Литчфилд надеялся, что корпоративные разработчики успеют устранить уязвимость в очередном наборе патчей. Эти обновления выпускаются ежеквартально, очередной комплект должен был увидеть свет в январе. После того как производитель СУБД не оправдал ожидания эксперта, Дэвид Литчфилд решил сделать материалы собственных исследований достоянием общественности.
Эксперт утверждает, что на данный момент 80% всех существующих баз данных Oracle уязвимы для атак извне. Однако, стоит отметить, что риску подвергаются лишь те хранилища, в которых используются настройки, заданные по умолчания. Смена этих настроек не позволит хакерам воспользоваться уязвимостью.
Разбираем кейсы, делимся опытом, учимся на чужих ошибках