Skip to content
Nouveau rapport : Obtenez votre exemplaire du rapport 2024 sur l'état de l'internet ! | Télécharger aujourd'hui
Blogs

Vulnérabilité critique (CVE-2021-35587) dans Oracle Fusion Middleware maintenant exploitée !

 

Le lundi 28 novembre 2022, l'Agence pour la cybersécurité et la sécurité des infrastructures (CISA) a ajouté CVE-2021-35587 et CVE-2022-4135 à soncatalogue des vulnérabilités exploitées connues et a fourni une mise à jour basée sur des preuves d'exploitation active. CVE-2021-35587 est associé à Oracle Fusion Middleware Access Management, qui est une solution d'authentification unique (SSO) au niveau de l'entreprise. CVE-2021-35587 permet l'exécution de code à distance avant l'authentification dans Oracle Fusion Middleware pour une prise de contrôle complète d'Oracle Access Manager. CVE-2022-4135 est associé à Google Chromium. Ces deux vulnérabilités critiques sont activement exploitées dans la nature. Cet article se concentre sur CVE-2021-35587 car c'est là que Censys peut aider.

À propos de CVE-2021-35587

CVE-2021-35587 a été publié en janvier 2022. Il s'agit d'une vulnérabilité dans le produit Oracle Access Manager d'Oracle Fusion Middleware. Cette vulnérabilité permet à un attaquant non authentifié (Pre-auth) disposant d'un accès réseau via HTTP de compromettre Oracle Access Manager et de prendre le contrôle total du système pour effectuer une exécution de code à distance (RCE). Étant donné qu'Oracle Access Manager, défini dans le guide d'installation, est une "application de sécurité de niveau entreprise qui fournit une gamme complète de fonctions de sécurité du périmètre Web et des services d'authentification unique sur le Web", cela peut avoir de graves conséquences pour les victimes de telles attaques.

La première démonstration de fais abilité a été publiée en mars 2022 par les chercheurs en sécurité "Janggggg" et "Peterjson". Depuis lors, d'autres preuves de concept ont été publiées, offrant aux attaquants un large éventail d'options. Cependant, la vulnérabilité n'a pas été exploitée dans la nature... jusqu'à aujourd'hui.

Qu'est-ce qui a changé ?

La CISA a confirmé que la vulnérabilité CVE-2021-35587 est activement exploitée dans la nature, mais n'a pas fourni de détails supplémentaires sur les attaques. GreyNoise Intelligence a observé des attaques tentant d'exploiter cette vulnérabilité à partir d'au moins 6 adresses IP uniques exploitées au cours du dernier mois. Les attaques semblent provenir des États-Unis, de Chine, d'Allemagne, de Singapour et du Canada. Pour l'instant, les attaques ne semblent pas être généralisées.

Comment Censys peut-il vous aider ?

Il existe actuellement 151 systèmes Oracle Access Management exposés et accessibles depuis l'internet. L'identification des hôtes Oracle Access Manager à l'aide de Censys peut se faire en utilisant l'identifiant CPE.

  • Censys Recherche :

services.software.uniform_resource_identifier : `cpe:2.3:a:oracle:access_manager:*:*:*:*:*:*:*:*`

  • Censys Inventaire ASM :

host.services.software.uniform_resource_identifier : `cpe:2.3:a:oracle:access_manager:*:*:*:*:*:*:*:*`

Censys Les clients de l'Attack Surface Management auront désormais accès à un nouveau risque pour identifier les systèmes Oracle Access Management exposés dans leur surface d'attaque. Étant donné qu'il s'agit d'un outil de sécurité, il ne devrait pas être accessible depuis l'internet dans une organisation traditionnelle. Tous les risques ASM liés à Oracle Access Manager peuvent être trouvés ici en utilisant le terme de recherche : "risks.name : oracle".

A propos de l'auteur

Jill Cagliostro
Jill Cagliostro
Principal Product Management
Jill Cagliostro est une chef de produit obsédée par le client dans l'industrie de la sécurité. Sa profonde compréhension des problèmes rencontrés par les clients provient de sa propre expérience du monde réel dans le SOC. Elle a commencé sa carrière dans une grande institution financière où elle s'est concentrée sur l'opérationnalisation et l'architecture de leur solution SIEM d'entreprise et sur la mise en place de leur programme de renseignement sur les menaces. Elle a apporté son expérience à Anomali, où elle a dirigé l'équipe chargée de la réussite des clients pour la région Est et fédérale. Elle est ensuite devenue chef de produit pour se rapprocher du produit et s'assurer que la stratégie du produit s'aligne sur les besoins des clients dans des entreprises comme Anomali, Recorded Future, Splunk et, plus récemment, Censys où elle est chef de produit principal. Elle est une "Double Jacket", ayant terminé ses études de premier et de second cycle à Georgia Tech, respectivement en informatique et en cybersécurité.
Solutions de gestion de la surface d'attaque
En savoir plus