Se ha anunciado la existencia de múltiples vulnerabilidades en Oracle
Reports y Forms que pueden ser explotadas por usuarios maliciosos para
realizar escaladas de privilegios, acceder a información sensible,
sobreescribir archivos arbitrarios, perpetrar ataques cross site
scripting o incluso, potencialmente, comprometer un sistema afectado.
La primera de la lista se debe a la falta de un filtrado robusto de
diversos parametros que posteriormente son enviados al usuario. Un
atacante puede aprovechar esta circunstancia para realizar ataques de
tipo cross site scripting (ejecutando código HTML y script arbitrario
en el navegador de la víctima con el contexto de seguridad del sitio
afectado).
Esta vulnerabilidad ha sido confirmada en Oracle Reports 9.0.2 con
patchset 2, aunque no se descarta que pueda afectar a otras versiones.
Otra vulnerabilidad descubierta permite leer una pequeña parte del
principio de cualquier archivo XML en un sistema afectado pasando la
ruta del archivo a otro parámetro, en este caso ‘customize’.
La siguiente en la lista de vulnerabilidades permite a un atacante
leer una pequeña parte del principio de cualquier fichero en un
sistema vulnerable poniendo su ruta en otro parámetro, en este caso
‘desformat’.
Otra vulnerabilidad descubierta permitiría a un atacante sobreescribir
archivos arbitrarios pasando una cadena especialmente construida al
parámetro ‘desname’. En plataformas Windows se puede utilizar esta
vulnerabilidad para sobreescribir cualquier archivo en el sistema,
mientras que en Linux se podrán sobreescribir archivos que pertenezcan
al usuario Oracle Application Server.
Esta vulnerabilidad en concreto ha sido confirmada en Oracle Reports
versiones 6.0, 6i, 9i y 10g.
Se ha descubierto también que es posible ejecutar archivos de informes
(*.rep y *.rdf) arbitrarios especificando la ruta del parámetro
‘report’. Esto puede ser explotado por un atacante local para ejecutar
comandos arbitrarios con los privilegios del usuario ‘Oracle’ o
SYSTEM. Para conseguir esto, sólo tiene que colocar un archivo de
informe malicioso en un directorio del servidor.
Esta vulnerabilidad ha sido confirmada en Oracle Reports versiones
6.0, 6i, 9i y 10g.
Finalmente, se ha descubierto que es posible ejecutar archivos de
formulario (*.fms) arbitrarios especificando su ruta en los parámetros
‘form’ o ‘module’. Al igual que la anterior vulnerabilidad, esta
permitiría ejecutar comandos con los permisos del usuario ‘Oracle’ o
SYSTEM por parte de atacantes locales que colocasen archivos
maliciosos de este tipo en el directorio del servidor.
Esta última vulnerabilidad se ha confirmado en las versiones 4.5, 5.0,
6.0, 6i, 9i y 10g de Oracle Forms.
A la espera de parches de actualización por parte de Oracle, se
recomienda utilizar algún tipo de mecanismo de filtrado intermedio (un
proxy o un firewall con capacidad de filtrado de URLs) para descartar
peticiones maliciosas. También se recomienda dar acceso a los sistemas
afectados sólo a usuarios de confianza, además de restringir la
capacidad de subida de archivos.
Hay que señalar que todos los problemas anunciados fueron comunicados a
Oracle hace más de 650 días, sin que en el transcurso de casi dos años
se haya publicado ningún parche ni actualización de producto que corrija
ninguna de las vulnerabilidades.
Hay que señalar que todos los problemas anunciados fueron comunicados
a Oracle hace más de 650 días. Durante el transcurso de casi dos años
no se ha publicado ningún parche ni actualización de producto que corrija
ninguna de las vulnerabilidades, motivo por el cual Alexander Kornbrust
_descubridor de los problemas_ ha decidido publicar todos los detalles
sobre de ellos.
jcanto@hispasec.com
Más información:
Various Cross-Site-Scripting Vulnerabilities in Oracle Report
http://www.red-database-security.com/advisory/oracle_reports_various_css.html
Read parts of any XML-file on the application server via Oracle Report
http://www.red-database-security.com/advisory/oracle_reports_read_any_xml_file.html
Read parts of any file on the application server via Oracle Report
http://www.red-database-security.com/advisory/oracle_reports_read_any_file.html
Overwrite any file on the application server via Oracle Report
http://www.red-database-security.com/advisory/oracle_reports_overwrite_any_file.html
Run any OS Command via uploaded Oracle Report from any directory
http://www.red-database-security.com/advisory/oracle_reports_run_any_os_command.html
Run any OS Command via uploaded Oracle Forms from any directory
http://www.red-database-security.com/advisory/oracle_forms_run_any_os_command.html
Deja una respuesta