Topic

Bron

Leestijd 1 min

Beveiligingsonderzoekers hebben technische details gepubliceerd over een kritieke Fusion Middleware kwetsbaarheid waar Oracle zes maanden over heeft gedaan om te patchen. De kwetsbaarheid, opgespoord als CVE-2022-21445 (CVSS-score 9.8), wordt beschreven als een deserialisatie van niet-vertrouwde gegevens, die kan worden misbruikt om willekeurige code uit te voeren. Geïdentificeerd in de ADF Faces component, kan het probleem op afstand worden uitgebuit, zonder authenticatie. Het lek werd ontdekt door beveiligingsonderzoekers PeterJson van VNG Corporation en Nguyen Jang van VNPT, die het in oktober 2021 aan Oracle meldden. Oracle bracht een oplossing uit als onderdeel van zijn Critical Patch Update van april 2022, zes maanden na de eerste melding. Volgens de twee beveiligingsonderzoekers heeft het pre-authenticatie RCE-probleem, dat zij beschrijven als een "mega" kwetsbaarheid, invloed op alle applicaties die afhankelijk zijn van ADF Faces, waaronder Business Intelligence, Enterprise Manager, Identity Management, SOA Suite, WebCenter Portal, Application Testing Suite, en Transportation Management. PeterJson en Jang ontdekten ook CVE-2022-21497 (CVSS-score 8.1), een server-side request forgery (SSRF)-kwetsbaarheid die kon worden gekoppeld aan CVE-2022-21445 om preauthenticatie code op afstand uit te voeren in Oracle Access Manager, een component die wordt gebruikt voor SSO in tal van Oracle online diensten. De onderzoekers, die hun aanval "The Miracle Exploit" hebben genoemd, zeggen dat alle online systemen en clouddiensten van Oracle die vertrouwen op ADF Faces zijn getroffen. In feite, zeggen ze, is elke website die gebruik maakt van het ADF Faces framework kwetsbaar. In een technisch verslag over de twee kwetsbaarheden merkt PeterJson op dat het ADF Faces-lek ook werd gemeld bij BestBuy, Dell, NAB Group, Regions Bank, Starbucks, USAA, en andere getroffen organisaties.

2 maanden geleden - securityweek.com

Korte versie

Oracle heeft een fout onthuld die kan worden misbruikt om willekeurige code uit te voeren.

Uitgebreide versie

De kwetsbaarheid, opgespoord als CVE-2022-21445 (CVSS-score 9.8), wordt beschreven als een deserialisatie van niet-vertrouwde gegevens, die kan worden misbruikt om willekeurige code uit te voeren. Oracle bracht een oplossing uit als onderdeel van zijn Critical Patch Update van april 2022, zes maanden na de eerste melding. PeterJson en Jang ontdekten ook CVE-2022-21497 (CVSS-score 8.1), een server-side request forgery (SSRF)-kwetsbaarheid die kon worden gekoppeld aan CVE-2022-21445 om preauthenticatie code op afstand uit te voeren in Oracle Access Manager, een component die wordt gebruikt voor SSO in tal van Oracle online diensten.

Vergelijkbare publicaties