David Litchfield ha publicado los detalles técnicos de un nuevo tipo de ataque que puede proporcionar a un hacker acceso a la base de datos de Oracle. Denominado inyección lateral de SQL, este ataque podría utilizarse para ganar los privilegios de administrador de una base de datos en un servidor de Oracle para cambiar o borrar datos, e incluso instalar software.

Aunque este investigador ya había hablado de este tipo de ataques en la conferencia Black Hat Washington que tuvo lugar el pasado mes de febrero, no ha sido hasta ahora cuando ha publicado un artículo con los detalles técnicos. Según estos, en una inyección de SQL, los atacantes crean términos de búsqueda que trucan la base de datos con comandos SQL. Antes, expertos de seguridad pensaban que las inyecciones de SQL sólo podrían funcionar si el atacante imputaba caracteres introducidos en la base de datos, no obstante, Litchfield ha mostrado que el ataque puede funcionar utilizando nuevos tipos de datos, conocido como fechas y tipos de datos de números. Sin embargo, este experto apunta no saber con seguridad el alcance de estas vulnerabilidades, si bien sí puede causar un gran daño en algunos escenarios.

Tal y como apunta este investigador, “si utilizas Oracle y escribes tus propias aplicaciones, podrías estar escribiendo código vulnerable y eso es algo sobre lo que la gente debería preocuparse”.

Para protegerse contra estas vulnerabilidades, Litchfield aconseja que los programadores de bases de datos comprueben que todos los datos que procesan son legítimos y no han sido inyectados con comandos SQL.

Por su parte, desde Oracle han declinado hacer comentarios al respecto.