事件过程
2012年10月19日上午,同事在日常巡检时发现一套对外服务的电子商务系统后台Oracle数据库中出现了一个名为zwell的用户,并且,该用户具有DBA权限。
按照管理规定,所有的Oracle数据库均有DDL触发器,查看触发器发现:
1CREATE ZWELL CREATE USER zwell IDENTIFIED BY ******* WD_WEB 2012/9/7 13:53:59 11028547 FALSE SYSTEM 5 WD_WEB 57 ptserver8 10.x.x.x tcp DATABASE
1WD_WEB 12200617 ROLE PRIVILEGE GRANT 2012/10/9 15:38:20 10.0.8.10 grant dba to zwell
此用户在2012/9/7 13:53:59,通过CREATE USER zwell IDENTIFIED BY ******* SQL语句创建,发出此SQL的服务器为WEB服务器集群第8台(ptserver8),IP地址为WEB集群F5接口地址(10.x.x.x)。并且,在2012/10/9 15:38:20,通过grant dba to zwell SQL语句,将zwell用户提升为DBA权限。
此用户已建立了1个多月,例行检查只检查拥有DBA权限的用户,导致此用户被建立很长时间后才被发现。
通过对WEB服务器的apache日志进行检查,在2012/9/7 13:53:59秒前后有大量的SQL注入行为,发出SQL注入入侵的源IP(113.71.184.32)属于广东省佛山市电信(如图1所示)
图1
但由于apache日志记录时间顺序问题,导致当时并未找到SQL注入的对应日志。
10月19日下午,紧急对此电子商务网站进行应用漏洞扫描,发现高危漏洞。
10月19日夜间, 鉴于短时间内无法确认被入侵途径及目的,经多方商议,建议先进行如下处理:
1.应用系统数据库用户存在IMP_FULL_DATABASE权限,而此权限应为过度授权,拥有此权限则可创建用户。进行权限收回。
2.尽快修改数据库账户密码,以及相关操作系统密码。
3.将数据库版本由10.2.0.1升级至10.2.0.5。
4.对数据库内关键信息进行审计。
10月20日早晨,对apache日志进行仔细检查后,确认此次入侵为SQL方式入侵,入侵入口为/service/service.do盲注方式,发出SQL注入入侵的源IP(119.57.81.78)属于北京市东四IDC机房。
2012年10月20日下午,再次检查发出创建用户SQL的ptserver8服务器的apache日志,发现了与创建用户对应的日志信息(如图2所示)。
图2
图3
创建用户操作也是通过/service/service.do进行SQL注入,至此,整个入侵流程均已查清。
事件分析
在此次安全事件中,黑客使用WEB页面的盲注漏洞,采用SQL注入的方式创建了zwell用户,并且利用了Oracle 10.2.0.1的提权漏洞,赋予zwell用户DBA权限。
经验教训
1.WEB应用应进行完善的代码检查,避免SQL注入漏洞
有很多方法可以避免SQL注入漏洞,比如,最常见的,使用绑定变量,但由于此应用程序为外包开发方式,供应商之前已开发了一套基础版本,此版本为基础版本的升级版本,因此,基础版本存在的问题也一并带入了生产环境,导致此漏洞的存在。
2.未进行完善的代码安全检查
目前有很多工具可以对应用进行安全检查,类似的SQL注入型漏洞一般都可以检查出来,但由于仓促上线,经验也不够丰富,因此,导致应用带着漏洞上线。
3.数据库版本未升级
这是一个典型的问题。数据库版本过低导致存在提权漏洞,如果数据库打了补丁,至少不会导致zwell用户被提升权限。
4.日常检查不够全面
只对拥有DBA权限的用户进行检查,导致被攻击后很长时间才发现攻击行为。
5.保留日志
对于WEB应用,日志是很有必要进行保留的,如果日志没有被改动,基本都可以从日志中重现整个安全事件的完整过程。
6.即使能够查到来源IP,此IP往往也是肉机IP,比如,在此次事件中,两次行为应是同一人完成,但创建用户的来源IP为广东省佛山市电信,提权IP为北京市东四IDC机房。
启明星辰公司数据库审计专家点评
数据库的风险主要来源于两个方面,一个是外部攻击,另一个是内部人员(有权限人员)的违规操作(故意或者无意),本文案例就是外部人员攻击的一个典型过程。具体步骤是:通过应用系统漏洞进行攻击,建立账户,再利用本地漏洞提权,然后利用高权限用户进行系列违法操作。
从上面的案例可以看到,要保证数据库安全,除了数据库系统自身安全之外,应用系统的安全也需要一并考虑。不仅要对数据库系统进行安全加固和严格的权限控制,对于应用系统也要进行代码漏洞检查、入侵防护,建议在安全建设时,除了要进行数据库的权限控制、数据加密、安全审计之外,对于应用服务器的代码检查、入侵防御等措施也要考虑,可适当部署一些常用的安全产品,包括:数据库加密、数据库审计、WEB应用防火墙、入侵检测等。