Compte rendu de OSSIRB du 16 juin 2009 - Oracle : a new hop

Présentation : Erwan, votre serviteur.

Je vais juste faire un compte-rendu rapide, j’espère qu’Erwan en fera un billet plus complet.

Aujourd’hui lorsque l’on arrive à accéder aux données d’un manière non limitée d’une base via une SQL injection, on est assez satisfait. Le pen-testeur, s’arrêtera certainement à ce niveau et n’ira pas plus loin dans son analyse. Seulement les services d’Oracle (orienté Web Services) nous offrent des fonctionnalités avancées. Il est donc possible via une SQL injection de transformer la base oracle en proxy Web (notemment grâce aux instructions PL/SQL contenues dans le paquetage UTL-HTTP). L’avantage de transformer une base Oracle en proxy et de pouvoir pénétrer un peu plus en profondeur un réseau d’entreprise et pourquoi pas accéder à d’autres services qui normalement ne devraient pas être accessibles depuis l’extérieur. Les possibilités restent assez grandes, il est même possible d’espérer connaître un peu plus la structure du réseau de l’entreprise. Ces possibilités utilisent des vulnérabilités connues des bases Oracle, il est donc aujourd’hui plus que conseillé de mettre à jour ses bases Oracle, on est jamais à l’abri d’une injection SQL provenant d’une application Web.