Investigadores de seguridad han observado un aumento en los ataques que abusan de la funcionalidad External Jobs del Oracle Database Scheduler para acceder a servidores de bases de datos Windows dentro de redes corporativas. Los atacantes explotan credenciales débiles o mal configuradas para ejecutar comandos de forma remota, lo que les permite obtener privilegios elevados y evadir la detección.
¿En qué consiste el riesgo?
Los atacantes siguen una serie de pasos para llevar a cabo el ataque:
- Acceso inicial: Escanean los puertos de escucha de Oracle para identificar servidores expuestos y utilizar credenciales débiles o por defecto para obtener acceso.
- Uso de trabajos externos: Una vez dentro, los atacantes invocan el componente extjobo.exe del Oracle Scheduler, que tiene la capacidad de ejecutar comandos del sistema operativo con los mismos privilegios que el servicio del planificador.
- Ejecución de comandos: Los atacantes ejecutan comandos codificados en Base64 que se pasan a PowerShell. Esta técnica, conocida como living-off-the-land, les permite usar herramientas que ya están en el sistema para evadir la detección y no dejar archivos maliciosos en el disco.
- Técnicas de evasión: Al usar scripts codificados y comandos nativos de Windows, los atacantes logran evadir muchas políticas de seguridad que impiden la ejecución de scripts maliciosos. También limpian las tareas programadas y los lotes temporales después de su uso para dificultar el análisis forense.
Consecuencias potenciales y recomendaciones
Los atacantes que logran comprometer un servidor de bases de datos pueden obtener acceso total al sistema con privilegios elevados, instalar malware o ransomware, exfiltrar datos sensibles y moverse lateralmente dentro de la red corporativa.
Para protegerse de esta amenaza, se recomienda:
- Auditar y reforzar credenciales: Revisa tus servidores de bases de datos para asegurarte de que no haya cuentas con privilegios elevados que utilicen contraseñas por defecto o débiles.
- Restringir el acceso a puertos: Audita los puertos de Oracle para asegurarte de que los servicios de escucha (listers) no sean accesibles desde redes no confiables o desde Internet.
- Monitorear la actividad del planificador: Implementa una monitorización específica para detectar invocaciones de extjobo.exe, actividad inusual en los canales de comunicación internos de Windows (named pipes) y el uso de PowerShell con comandos codificados en Base64.
- Aplicar el principio de menor privilegio: Limita el acceso al Oracle Scheduler y, cuando sea posible, separa los roles de administración de la base de datos de los de la administración del sistema operativo.
