美國(guó)CISA最新收錄高危漏洞，系與甲骨文有關(guān)

近日，美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 (CISA) 將一個(gè)影響美國(guó)甲骨文(Oracle)公司融合中間件的嚴(yán)重漏洞跟蹤為CVE-2021-35587(CVSS 3.1 基本分?jǐn)?shù) 9.8)。該漏洞是由于yizhi Access Manager(Oracle融合中間件)未對(duì)HTTP請(qǐng)求進(jìn)行有效的驗(yàn)證，攻擊者可利用該漏洞在未授權(quán)的情況下，構(gòu)造惡意數(shù)據(jù)進(jìn)行遠(yuǎn)程代碼執(zhí)行漏洞攻擊，最終獲取服務(wù)器最高權(quán)限。

美國(guó)甲骨文(Oracle)公司

Oracle Access Manager是Oracle公司出品的一款單點(diǎn)登陸認(rèn)證管理系統(tǒng)。提供了基于Web的身份4管理，以及對(duì)運(yùn)行于異類環(huán)境中的Web應(yīng)用程序和資源的訪問(wèn)控制。它提供用戶和組管理、委托管理、口令管理和自助服務(wù)功能，以便在復(fù)雜的、以目錄為中心的環(huán)境中管理大量用戶。據(jù)統(tǒng)計(jì)，全球總計(jì)30000以上的資產(chǎn)使用了Oracle Fusion Middleware。國(guó)內(nèi)使用地區(qū)主要在廣西、北京、遼寧等省份。

目前受影響的版本為Oracle Access Manage 11.1.2.3.0、Oracle Access Manage 12.2.1.3.0 和Oracle Access Manage 12.2.1.4.0在漏洞被發(fā)現(xiàn)后不久，Oracle公司就發(fā)布了針對(duì)該漏洞的補(bǔ)丁，及時(shí)修復(fù)系統(tǒng)。

Nguyen Jang 發(fā)布的視頻 PoC

據(jù)悉，該漏洞是由安全研究員 Nguyen Jang ( Janggggg ) 與peterjson一起報(bào)告的： “這個(gè)漏洞是我和Peterjson在我們?yōu)榱硪粋€(gè)mega-0day 分析和構(gòu)建 PoC 時(shí)偶然發(fā)現(xiàn)的(目前仍未修復(fù))。訪問(wèn)入口點(diǎn)并利用漏洞非常容易，因此建議立即應(yīng)用補(bǔ)丁!它可能會(huì)讓攻擊者訪問(wèn) OAM 服務(wù)器，創(chuàng)建具有任何權(quán)限的任何用戶，或者只是在受害者的服務(wù)器上執(zhí)行代碼?！?/span>

目前，CISA 已將該漏洞列入已知利用漏洞目錄。據(jù)統(tǒng)計(jì)，該目錄目前列出了近四百個(gè)漏洞，其中一些老漏洞是2010年就被發(fā)現(xiàn)，但現(xiàn)在仍在外部被利用。這其中還包括思科、Google、微軟、蘋果、甲骨文、Adobe、Atlassian、IBM和其他許多大小公司的產(chǎn)品的漏洞。

CISA在一個(gè)具有約束力的操作指令中說(shuō)："這個(gè)漏洞和之前記錄的漏洞一項(xiàng)，給各機(jī)構(gòu)帶來(lái)了重大風(fēng)險(xiǎn)。必須積極補(bǔ)救已知的被利用的漏洞，以保護(hù)聯(lián)邦信息系統(tǒng)和減少網(wǎng)絡(luò)事件，"為此，CISA已命令聯(lián)邦機(jī)構(gòu)在 2022 年 12 月 19 日之前修復(fù)這些漏洞。

來(lái)源：E安全