Am Montag, den 28. November 2022, fügte die Cybersecurity & Infrastructure Security Agency (CISA) CVE-2021-35587 und CVE-2022-4135 zu ihremKnown Exploited Vulnerabilities Catalog hinzu und stellte ein Update zur Verfügung, das auf Hinweisen auf eine aktive Ausnutzung beruht. CVE-2021-35587 steht im Zusammenhang mit Oracle Fusion Middleware Access Management, einer Single Sign-on-Lösung (SSO) auf Unternehmensebene. CVE-2021-35587 ermöglicht Pre-auth Remote Code Execution in Oracle Fusion Middleware für die vollständige Übernahme von Oracle Access Manager. CVE-2022-4135 ist mit Google Chromium verbunden. Beides sind kritische Schwachstellen, die aktiv ausgenutzt werden. Dieser Beitrag konzentriert sich auf CVE-2021-35587, denn hier kann Censys helfen.
Über CVE-2021-35587
CVE-2021-35587 wurde im Januar 2022 veröffentlicht. Es handelt sich um eine Sicherheitslücke im Oracle Access Manager-Produkt von Oracle Fusion Middleware. Die Schwachstelle ermöglicht es einem nicht authentifizierten (Pre-auth) Angreifer mit Netzwerkzugang über HTTP, Oracle Access Manager zu kompromittieren und die vollständige Kontrolle über das System zu übernehmen, um Remote Code Execution (RCE) durchzuführen. Da Oracle Access Manager laut Installationshandbuch eine "Sicherheitsanwendung auf Unternehmensebene ist, die eine ganze Reihe von Sicherheitsfunktionen für den Web-Umkreis und Web-Single-Sign-On-Dienste bietet", kann dies schwerwiegende Folgen für die Opfer solcher Angriffe haben.
Der erste Proof-of-Concept-Exploit (PoC) wurde im März 2022 von den Sicherheitsforschern "Janggggg" und "Peterjson" veröffentlicht. Seitdem sind weitere PoCs erschienen, die Angreifern eine Vielzahl von Möglichkeiten bieten. Es wurde jedoch nicht beobachtet, dass die Sicherheitslücke in freier Wildbahn ausgenutzt wurde ... bis jetzt.
Was hat sich geändert?
CISA hat bestätigt, dass CVE-2021-35587 aktiv in freier Wildbahn ausgenutzt wird, hat aber keine weiteren Details zu den Angriffen genannt. GreyNoise Intelligence hat Angriffe beobachtet, die versuchen, diese Sicherheitslücke von mindestens 6 einzelnen IPs auszunutzen, die im letzten Monat ausgenutzt wurden. Die Angriffe scheinen aus den Vereinigten Staaten, China, Deutschland, Singapur und Kanada zu kommen. Zurzeit scheinen die Angriffe nicht weit verbreitet zu sein.
Wie kann Censys helfen?
Derzeit gibt es 151 offene Oracle Access Management-Systeme, die über das Internet zugänglich sind. Die Identifizierung von Oracle Access Manager-Hosts über Censys kann über die CPE-Kennung erfolgen.
services.software.uniform_resource_identifier: `cpe:2.3:a:oracle:access_manager:*:*:*:*:*:*:*:*:*`
host.services.software.uniform_resource_identifier: `cpe:2.3:a:oracle:access_manager:*:*:*:*:*:*:*:*:*`
Censys Kunden von Attack Surface Management haben nun Zugang zu einem neuen Risiko, um gefährdete Oracle Access Management-Systeme in ihrer Angriffsfläche zu identifizieren. Da es sich um ein Sicherheitstool handelt, sollte es in einer traditionellen Organisation nicht über das Internet zugänglich sein. Alle ASM-Risiken, die sich auf Oracle Access Manager beziehen, können hier mit dem Suchbegriff: "risks.name: oracle".
