El lunes 28 de noviembre de 2022, la Agencia de Ciberseguridad y Seguridad de Infraestructuras (CISA) añadió CVE-2021-35587 y CVE-2022-4135 a suCatálogo de Vulnerabilidades Conocidas Explotadas y proporcionó una actualización basada en pruebas de explotación activa. CVE-2021-35587 está asociado con Oracle Fusion Middleware Access Management, que es una solución de inicio de sesión único (SSO) de nivel empresarial. CVE-2021-35587 permite la ejecución remota de código Pre-auth en Oracle Fusion Middleware para la toma completa de Oracle Access Manager. CVE-2022-4135 está asociado a Google Chromium. Ambas son vulnerabilidades críticas observadas como siendo explotadas activamente en la naturaleza. Este post se centra en CVE-2021-35587 porque es aquí donde Censys puede ayudar.
Acerca de CVE-2021-35587
CVE-2021-35587 se publicó en enero de 2022. Se trata de una vulnerabilidad en el producto Oracle Access Manager de Oracle Fusion Middleware. La vulnerabilidad permite a un atacante no autenticado (Pre-auth) con acceso a la red a través de HTTP comprometer Oracle Access Manager y tomar el control total del sistema para llevar a cabo la ejecución remota de código (RCE). Dado que Oracle Access Manager, definido en la guía de instalación, es una "aplicación de seguridad de nivel empresarial que proporciona una gama completa de funciones de seguridad de perímetro Web y servicios Web de inicio de sesión único", esto puede tener graves consecuencias para las víctimas de este tipo de ataques.
La primera prueba de concepto fue publicada en marzo de 2022 por los investigadores de seguridad "Janggggg" y "Peterjson". Desde entonces, también han aparecido otras PoC, ofreciendo a los atacantes una gran variedad de opciones. Sin embargo, no se ha observado que la vulnerabilidad se explote in the wild... hasta ahora.
¿Qué ha cambiado?
CISA ha confirmado que CVE-2021-35587 está siendo explotado activamente en la naturaleza, pero no proporcionó detalles adicionales sobre los ataques. GreyNoise Intelligence ha observado ataques que intentan explotar esta vulnerabilidad desde al menos 6 IP únicas explotadas en el último mes. Los ataques parecen proceder de Estados Unidos, China, Alemania, Singapur y Canadá. En este momento, los ataques no parecen ser generalizados.
¿Cómo puede ayudar Censys ?
Actualmente hay 151 sistemas expuestos de Oracle Access Management accesibles desde Internet. La identificación de los hosts de Oracle Access Manager mediante Censys puede realizarse mediante el identificador CPE.
services.software.uniform_resource_identifier: `cpe:2.3:a:oracle:access_manager:*:*:*:*:*:*:*`
host.services.software.uniform_resource_identifier: `cpe:2.3:a:oracle:access_manager:*:*:*:*:*:*:*`
Censys Los clientes de Attack Surface Management tendrán ahora acceso a un nuevo riesgo para identificar los sistemas Oracle Access Management expuestos en su superficie de ataque. Dado que se trata de una herramienta de seguridad, no debería ser accesible desde Internet en una organización tradicional. Todos los riesgos ASM relacionados con Oracle Access Manager pueden encontrarse aquí utilizando el término de búsqueda "riesgos.nombre: oracle".
