Ir al contenido
Próximo seminario web: Libere el poder de la búsqueda en Censys con Em Averton | 27 de junio a las 13:00 ET | Regístrese ahora
Blogs

Vulnerabilidad crítica (CVE-2021-35587) en Oracle Fusion Middleware ¡Ya explotada!

 

El lunes 28 de noviembre de 2022, la Agencia de Ciberseguridad y Seguridad de Infraestructuras (CISA) añadió CVE-2021-35587 y CVE-2022-4135 a suCatálogo de Vulnerabilidades Conocidas Explotadas y proporcionó una actualización basada en pruebas de explotación activa. CVE-2021-35587 está asociado con Oracle Fusion Middleware Access Management, que es una solución de inicio de sesión único (SSO) de nivel empresarial. CVE-2021-35587 permite la ejecución remota de código Pre-auth en Oracle Fusion Middleware para la toma completa de Oracle Access Manager. CVE-2022-4135 está asociado a Google Chromium. Ambas son vulnerabilidades críticas observadas como siendo explotadas activamente en la naturaleza. Este post se centra en CVE-2021-35587 porque es aquí donde Censys puede ayudar.

Acerca de CVE-2021-35587

CVE-2021-35587 se publicó en enero de 2022. Se trata de una vulnerabilidad en el producto Oracle Access Manager de Oracle Fusion Middleware. La vulnerabilidad permite a un atacante no autenticado (Pre-auth) con acceso a la red a través de HTTP comprometer Oracle Access Manager y tomar el control total del sistema para llevar a cabo la ejecución remota de código (RCE). Dado que Oracle Access Manager, definido en la guía de instalación, es una "aplicación de seguridad de nivel empresarial que proporciona una gama completa de funciones de seguridad de perímetro Web y servicios Web de inicio de sesión único", esto puede tener graves consecuencias para las víctimas de este tipo de ataques.

La primera prueba de concepto fue publicada en marzo de 2022 por los investigadores de seguridad "Janggggg" y "Peterjson". Desde entonces, también han aparecido otras PoC, ofreciendo a los atacantes una gran variedad de opciones. Sin embargo, no se ha observado que la vulnerabilidad se explote in the wild... hasta ahora.

¿Qué ha cambiado?

CISA ha confirmado que CVE-2021-35587 está siendo explotado activamente en la naturaleza, pero no proporcionó detalles adicionales sobre los ataques. GreyNoise Intelligence ha observado ataques que intentan explotar esta vulnerabilidad desde al menos 6 IP únicas explotadas en el último mes. Los ataques parecen proceder de Estados Unidos, China, Alemania, Singapur y Canadá. En este momento, los ataques no parecen ser generalizados.

¿Cómo puede ayudar Censys ?

Actualmente hay 151 sistemas expuestos de Oracle Access Management accesibles desde Internet. La identificación de los hosts de Oracle Access Manager mediante Censys puede realizarse mediante el identificador CPE.

  • Censys Busca:

services.software.uniform_resource_identifier: `cpe:2.3:a:oracle:access_manager:*:*:*:*:*:*:*`

  • Censys Inventario ASM:

host.services.software.uniform_resource_identifier: `cpe:2.3:a:oracle:access_manager:*:*:*:*:*:*:*`

Censys Los clientes de Attack Surface Management tendrán ahora acceso a un nuevo riesgo para identificar los sistemas Oracle Access Management expuestos en su superficie de ataque. Dado que se trata de una herramienta de seguridad, no debería ser accesible desde Internet en una organización tradicional. Todos los riesgos ASM relacionados con Oracle Access Manager pueden encontrarse aquí utilizando el término de búsqueda "riesgos.nombre: oracle".

Sobre el autor

Jill Cagliostro
Jill Cagliostro
Gestión principal de productos
Jill Cagliostro es una líder de producto obsesionada con el cliente en el sector de la seguridad. Su profundo conocimiento de los puntos débiles de los clientes proviene de su propia experiencia real en el SOC. Comenzó su carrera en una gran institución financiera, donde se centró en la puesta en marcha y la arquitectura de su solución SIEM empresarial y en el establecimiento de su programa de inteligencia sobre amenazas. Aportó su experiencia a Anomali, donde dirigió el equipo de éxito de clientes para la región Este y Federal. Cambió a Directora de Producto para acercarse más al producto y asegurar que la estrategia de producto se alinea con las necesidades del cliente en empresas como Anomali, Recorded Future, Splunk y, más recientemente, Censys , donde es Directora Principal de Producto. Ella es una "Doble Chaqueta" habiendo completado sus estudios universitarios y de postgrado en Georgia Tech en Ciencias de la Computación y Ciberseguridad, respectivamente.
Soluciones de gestión de la superficie de ataque
Más información