Múltiples vulnerabilidades en Oracle Reports y Forms

Se ha anunciado la existencia de múltiples vulnerabilidades en Oracle Reports y Forms que pueden ser explotadas por usuarios maliciosos para realizar escaladas de privilegios, acceder a información sensible, sobreescribir archivos arbitrarios, llevar a cabo ataques cross site scripting o incluso, potencialmente, comprometer un sistema afectado.

La primera de la lista se debe a la falta de un filtrado robusto de diversos parámetros que posteriormente son enviados al usuario. Un atacante puede aprovechar esta circunstancia para realizar ataques de tipo cross site scripting (ejecutando código HTML y script arbitrario en el navegador de la víctima con el contexto de seguridad del sitio afectado).

Esta vulnerabilidad ha sido confirmada en Oracle Reports 9.0.2 con patchset 2, aunque no se descarta que pueda afectar a otras versiones.

Otra vulnerabilidad descubierta permite leer una pequeña parte del principio de cualquier archivo XML en un sistema afectado pasando la ruta del archivo a otro parámetro, en este caso ‘customize’.

La siguiente en la lista de vulnerabilidades permite a un atacante leer una pequeña parte del principio de cualquier fichero en un sistema vulnerable poniendo su ruta en otro parámetro, en este caso ‘desformat’.

Otra vulnerabilidad descubierta permitiría a un atacante sobreescribir archivos arbitrarios pasando una cadena especialmente construida al parámetro ‘desname’. En plataformas Windows se puede utilizar esta vulnerabilidad para sobreescribir cualquier archivo en el sistema, mientras que en Linux se podrán sobreescribir archivos que pertenezcan al usuario Oracle Application Server.

Esta vulnerabilidad en concreto ha sido confirmada en Oracle Reports versiones 6.0, 6i, 9i y 10g.

Se ha descubierto también que es posible ejecutar archivos de informes (*.rep y *.rdf) arbitrarios especificando la ruta del parámetro ‘report’. Esto puede ser explotado por un atacante local para ejecutar comandos arbitrarios con los privilegios del usuario ‘Oracle’ o SYSTEM. Para conseguir esto, sólo tiene que colocar un archivo de informe malicioso en un directorio del servidor.

Esta vulnerabilidad ha sido confirmada en Oracle Reports versiones 6.0, 6i, 9i y 10g.

Finalmente, se ha descubierto que es posible ejecutar archivos de formulario (*.fms) arbitrarios especificando su ruta en los parámetros ‘form’ o ‘module’. Al igual que la anterior vulnerabilidad, esta permitiría ejecutar comandos con los permisos del usuario ‘Oracle’ o SYSTEM por parte de atacantes locales que colocasen archivos maliciosos de este tipo en el directorio del servidor.

Esta última vulnerabilidad se ha confirmado en las versiones 4.5, 5.0, 6.0, 6i, 9i y 10g de Oracle Forms.

A la espera de parches de actualización por parte de Oracle, se recomienda utilizar algún tipo de mecanismo de filtrado intermedio (un proxy o un firewall con capacidad de filtrado de URLs) para descartar peticiones maliciosas. También se recomienda dar acceso a los sistemas afectados sólo a usuarios de confianza, además de restringir la capacidad de subida de archivos.

Hay que señalar que todos los problemas anunciados fueron comunicados a Oracle hace más de 650 días. Durante el transcurso de casi dos años no se ha publicado ningún parche ni actualización de producto que corrija ninguna de las vulnerabilidades, motivo por el cual Alexander Kornbrust,descubridor de los fallos, ha decidido publicar todos los detalles sobre ellos.