0day en base de datos oracle

Un experto en seguridad informática considera que nueve de cada diez bases de datos Oracle son vulnerables a un ataque que podría dar a los hackers el acceso y control de la sensibilidad de las empresas y los sistemas de base de datos del gobierno, sin la necesidad de una identificación de usuario o contraseña.

David Litchfield, jefe de investigación en NGSSoftware Ltd, una compañía con sede en Reino Unido dijo haber reportado a Oracle la vulnerabilidad desde Noviembre (Oracle 10.2.0.4), pero no fue solucionado en los parches de seguridad de enero. Por lo que ha decidido hacerlo público (”11g 0day exploit”) durante la conferencia Black Hat en Washington el miércoles.

Litchfield dijo que “permite a un atacante sin un ID de usuario y contraseña tomar el control completo. Todos los firewalls se vuelven irrelevantes”.

Aunque es posible prevenir la explotación cambiando la configuración por defecto del software, Litchfield cree que nueve de cada diez bases de datos son vulnerables. Añadió que no había manera de saber si los hackers ya aprovechan la vulnerabilidad para acceder a una base de datos.

Mientras tanto Black Hat retiró el video de David Litchfield donde se mostraba el código y Oracle no ha hecho algún comentario al respecto.

Fuente: latinohack.com