Auf der Sicherheitsmailing-Liste Full Disclosure wurde Anfang dieser Woche ein Demo-Programm für einen möglichen Oracle-Datenbank-Wurm gepostet. Der in PL/SQL geschriebene Code verfügt zwar noch über keine Verbreitungsroutine, allerdings sei es nach Angabe des Spezialisten für Datenbanksicherheit Alexander Kornbrust nicht schwierig, diese hinzuzufügen. Kornbrust hat eine kurze Analyse des Codes auf seinen Seiten veröffentlicht.
Demnach benutzt das Voyager-Wurm genannte Programm das utl_tcp-Package, um im Netzwerk (LAN) andere Datenbanken zu finden, sich dorthin zu verbinden und mit Standard-Logindaten (ordcommon/ordcommon, system/manager, etc) anzumelden. Anschließend legt es in der Datenbank die Tabelle "x" an. Initial muss der Code allerdings noch auf einem Client gestartet werden. Laut Kornbrust kann dazu beispielsweise die Datei glogin.sql von SQLPlus dienen, in die ein Angreifer über eine Schwachstelle des Clients den Wurmcode geschrieben hat.
Ingesamt stellt der Wurm aber derzeit noch keine Bedrohung dar, da er keine Daten löscht oder manipuliert. Das könnte sich allerdings ändern; denkbar ist auch, dass der Source-Code um eine Funktion erweitert wird, um den Wurm-Code in eine PL/SQL-Prozedur auf dem Server zu schreiben und zu starten. Administratoren sollten sicherheitshalber die Konfiguration ihrer Datenbank überprüfen und dabei auch die Standardpasswörter wechseln. Weitere Maßnahmen führt Kornbrust in seinem Advisory auf.
Siehe dazu auch:
* Analysis Oracle Voyager Worm von Alexander Kornbrust
Quelle und Links :
http://www.heise.de/newsticker/meldung/65715
