Af Eskil Sørensen, 02/12/22
En remote code execution-fejl i Oracle Access Manager (OAM) er under aktiv udnyttelse af trusselsaktører. Det skriver Helpnet Security på baggrund af, at amerikanske Cybersecurity and Infrastructure Security Agency (CISA) har tilføjet sårbarheden til sin katalog over kendte udnyttede sårbarheder (KEV). Også Center for Cybersikkerhed har udsendt et varsel om de aktuelle udnyttelser.
Fejlen har id’et CVE-2021-35587 og en kritisk CVSS-score på 9,8. Den blev opdaget af to sikkerhedsresearchere i januar 2022, men er altså her et lille år tid efter genstand for udnyttelse i en grad, at det er kommet på KEV-listen.
Sårbarheden findes i OpenSSO Agent-komponenten af Oracle Access Manager-produktet. Det er en løsning, som ifølge Helpnet Security er meget brugt af virksomheder til single sign-on (SSO) som en del af Oracle Fusion Middleware-pakken.
Sårbarheden gør det muligt for en uautoriseret angriber med netværksadgang via HTTP at kompromittere Oracle Access Manager og bruge den til at oprette brugere med eventuelle privilegier eller til at udføre vilkårlig kode på offerets server. Sårbarheden påvirker v11.1.2.3.0, 12.2.1.3.0 og 12.2.1.4.0 af Oracle Access Manager og er blevet rettet i de understøttede versioner. Ifølge en af researcherne bag fundet påvirker den også Oracle Weblogic Server 11g (10.3.6.0) og OAM 11g (11.1.2.0.0). Disse versioner er ikke længere understøttet og har derfor heller ikke fået en patch.
Angiveligt skulle der være offentliggjort ’adskillige’ proof-of-concept-udnyttelser til CVE-2021-35587 på GitHub.
Links:
https://www.helpnetsecurity.com/2022/11/29/cve-2021-35587-exploited/
https://www.cfcs.dk/da/handelser/varsler/sarbarhed-i-oracle-access-manager/