Le lundi 28 novembre 2022, l'Agence pour la cybersécurité et la sécurité des infrastructures (CISA) a ajouté CVE-2021-35587 et CVE-2022-4135 à soncatalogue des vulnérabilités exploitées connues et a fourni une mise à jour basée sur des preuves d'exploitation active. CVE-2021-35587 est associé à Oracle Fusion Middleware Access Management, qui est une solution d'authentification unique (SSO) au niveau de l'entreprise. CVE-2021-35587 permet l'exécution de code à distance avant l'authentification dans Oracle Fusion Middleware pour une prise de contrôle complète d'Oracle Access Manager. CVE-2022-4135 est associé à Google Chromium. Ces deux vulnérabilités critiques sont activement exploitées dans la nature. Cet article se concentre sur CVE-2021-35587 car c'est là que Censys peut aider.
À propos de CVE-2021-35587
CVE-2021-35587 a été publié en janvier 2022. Il s'agit d'une vulnérabilité dans le produit Oracle Access Manager d'Oracle Fusion Middleware. Cette vulnérabilité permet à un attaquant non authentifié (Pre-auth) disposant d'un accès réseau via HTTP de compromettre Oracle Access Manager et de prendre le contrôle total du système pour effectuer une exécution de code à distance (RCE). Étant donné qu'Oracle Access Manager, défini dans le guide d'installation, est une "application de sécurité de niveau entreprise qui fournit une gamme complète de fonctions de sécurité du périmètre Web et des services d'authentification unique sur le Web", cela peut avoir de graves conséquences pour les victimes de telles attaques.
La première démonstration de fais abilité a été publiée en mars 2022 par les chercheurs en sécurité "Janggggg" et "Peterjson". Depuis lors, d'autres preuves de concept ont été publiées, offrant aux attaquants un large éventail d'options. Cependant, la vulnérabilité n'a pas été exploitée dans la nature... jusqu'à aujourd'hui.
Qu'est-ce qui a changé ?
La CISA a confirmé que la vulnérabilité CVE-2021-35587 est activement exploitée dans la nature, mais n'a pas fourni de détails supplémentaires sur les attaques. GreyNoise Intelligence a observé des attaques tentant d'exploiter cette vulnérabilité à partir d'au moins 6 adresses IP uniques exploitées au cours du dernier mois. Les attaques semblent provenir des États-Unis, de Chine, d'Allemagne, de Singapour et du Canada. Pour l'instant, les attaques ne semblent pas être généralisées.
Comment Censys peut-il vous aider ?
Il existe actuellement 151 systèmes Oracle Access Management exposés et accessibles depuis l'internet. L'identification des hôtes Oracle Access Manager à l'aide de Censys peut se faire en utilisant l'identifiant CPE.
services.software.uniform_resource_identifier : `cpe:2.3:a:oracle:access_manager:*:*:*:*:*:*:*:*`
host.services.software.uniform_resource_identifier : `cpe:2.3:a:oracle:access_manager:*:*:*:*:*:*:*:*`
Censys Les clients de l'Attack Surface Management auront désormais accès à un nouveau risque pour identifier les systèmes Oracle Access Management exposés dans leur surface d'attaque. Étant donné qu'il s'agit d'un outil de sécurité, il ne devrait pas être accessible depuis l'internet dans une organisation traditionnelle. Tous les risques ASM liés à Oracle Access Manager peuvent être trouvés ici en utilisant le terme de recherche : "risks.name : oracle".