Zum Inhalt springen
Kommendes Webinar: Entfesseln Sie die Kraft von Censys Search mit Em Averton | 27. Juni um 1PM ET | Jetzt anmelden
Blogs

Kritische Sicherheitslücke (CVE-2021-35587) in Oracle Fusion Middleware wird jetzt ausgenutzt!

 

Am Montag, den 28. November 2022, fügte die Cybersecurity & Infrastructure Security Agency (CISA) CVE-2021-35587 und CVE-2022-4135 zu ihremKnown Exploited Vulnerabilities Catalog hinzu und stellte ein Update zur Verfügung, das auf Hinweisen auf eine aktive Ausnutzung beruht. CVE-2021-35587 steht im Zusammenhang mit Oracle Fusion Middleware Access Management, einer Single Sign-on-Lösung (SSO) auf Unternehmensebene. CVE-2021-35587 ermöglicht Pre-auth Remote Code Execution in Oracle Fusion Middleware für die vollständige Übernahme von Oracle Access Manager. CVE-2022-4135 ist mit Google Chromium verbunden. Beides sind kritische Schwachstellen, die aktiv ausgenutzt werden. Dieser Beitrag konzentriert sich auf CVE-2021-35587, denn hier kann Censys helfen.

Über CVE-2021-35587

CVE-2021-35587 wurde im Januar 2022 veröffentlicht. Es handelt sich um eine Sicherheitslücke im Oracle Access Manager-Produkt von Oracle Fusion Middleware. Die Schwachstelle ermöglicht es einem nicht authentifizierten (Pre-auth) Angreifer mit Netzwerkzugang über HTTP, Oracle Access Manager zu kompromittieren und die vollständige Kontrolle über das System zu übernehmen, um Remote Code Execution (RCE) durchzuführen. Da Oracle Access Manager laut Installationshandbuch eine "Sicherheitsanwendung auf Unternehmensebene ist, die eine ganze Reihe von Sicherheitsfunktionen für den Web-Umkreis und Web-Single-Sign-On-Dienste bietet", kann dies schwerwiegende Folgen für die Opfer solcher Angriffe haben.

Der erste Proof-of-Concept-Exploit (PoC) wurde im März 2022 von den Sicherheitsforschern "Janggggg" und "Peterjson" veröffentlicht. Seitdem sind weitere PoCs erschienen, die Angreifern eine Vielzahl von Möglichkeiten bieten. Es wurde jedoch nicht beobachtet, dass die Sicherheitslücke in freier Wildbahn ausgenutzt wurde ... bis jetzt.

Was hat sich geändert?

CISA hat bestätigt, dass CVE-2021-35587 aktiv in freier Wildbahn ausgenutzt wird, hat aber keine weiteren Details zu den Angriffen genannt. GreyNoise Intelligence hat Angriffe beobachtet, die versuchen, diese Sicherheitslücke von mindestens 6 einzelnen IPs auszunutzen, die im letzten Monat ausgenutzt wurden. Die Angriffe scheinen aus den Vereinigten Staaten, China, Deutschland, Singapur und Kanada zu kommen. Zurzeit scheinen die Angriffe nicht weit verbreitet zu sein.

Wie kann Censys helfen?

Derzeit gibt es 151 offene Oracle Access Management-Systeme, die über das Internet zugänglich sind. Die Identifizierung von Oracle Access Manager-Hosts über Censys kann über die CPE-Kennung erfolgen.

  • Censys Search:

services.software.uniform_resource_identifier: `cpe:2.3:a:oracle:access_manager:*:*:*:*:*:*:*:*:*`

  • Censys ASM-Inventar:

host.services.software.uniform_resource_identifier: `cpe:2.3:a:oracle:access_manager:*:*:*:*:*:*:*:*:*`

Censys Kunden von Attack Surface Management haben nun Zugang zu einem neuen Risiko, um gefährdete Oracle Access Management-Systeme in ihrer Angriffsfläche zu identifizieren. Da es sich um ein Sicherheitstool handelt, sollte es in einer traditionellen Organisation nicht über das Internet zugänglich sein. Alle ASM-Risiken, die sich auf Oracle Access Manager beziehen, können hier mit dem Suchbegriff: "risks.name: oracle".

Über den Autor

Jill Cagliostro
Jill Cagliostro
Leiterin Produktmanagement
Jill Cagliostro ist eine kundenorientierte Produktführerin in der Sicherheitsbranche. Ihr tiefes Verständnis für die Probleme der Kunden stammt aus ihrer eigenen Praxiserfahrung im SOC. Sie begann ihre Karriere bei einem großen Finanzinstitut, wo sie sich auf die Operationalisierung und Architektur der SIEM-Lösung für Unternehmen und die Einrichtung eines Bedrohungsdatenprogramms konzentrierte. Sie brachte ihre Erfahrung bei Anomali ein, wo sie das Kundenerfolgsteam für die Region East & Federal leitete. Bei Unternehmen wie Anomali, Recorded Future, Splunk und zuletzt Censys , wo sie als Principal Product Manager tätig ist, wechselte sie zum Product Manager, um näher am Produkt zu sein und sicherzustellen, dass die Produktstrategie mit den Kundenanforderungen übereinstimmt. Sie ist ein "Double Jacket" und hat sowohl ihr Grundstudium als auch ihr Aufbaustudium an der Georgia Tech in Informatik bzw. Cybersicherheit abgeschlossen.
Lösungen für das Management von Angriffsflächen
Mehr erfahren