Une faille RCE de pré-authentification dans Oracle Access Manager, qui a été corrigée en janvier 2022, est exploitée par des attaquants dans la nature, a confirmé l’Agence pour la cybersécurité et la sécurité des infrastructures en ajoutant la vulnérabilité à son catalogue de vulnérabilités connues et exploitées (Known Exploited Vulnerabilities Catalog).
La vulnérabilité se trouve dans le composant OpenSSO Agent du produit Oracle Access Manager, qui est largement utilisé par les entreprises pour l’authentification unique dans le cadre de la suite Oracle Fusion Middleware.
Il peut permettre à un attaquant non authentifié disposant d’un accès réseau via HTTP de compromettre Oracle Access Manager et de l’utiliser pour créer des utilisateurs avec n’importe quels privilèges ou pour exécuter un code arbitraire sur le serveur de la victime, a expliqué M. Jang au début de l’année.
La vulnérabilité affectait les versions 11.1.2.3.0, 12.2.1.3.0 et 12.2.1.4.0 d’Oracle Access Manager et a été corrigée dans ces versions prises en charge, mais selon Jang, elle affecte également Oracle Weblogic Server 11g et OAM 11g, qui ont cessé d’être prises en charge le 1er janvier 2022, et n’ont donc pas de correctif disponible pour ce RCE. Exploitation active.
Plusieurs exploits de démonstration de concept pour CVE-2021-35587 ont été publiés sur GitHub après que Jang et Peterjson ont publié une partie de leurs exploits en mars 2022, mais selon la CISA, des tentatives d’exploitation réussies ont maintenant été détectées.
Le fait que cette vulnérabilité ait été intégrée au catalogue KEV signifie que les agences fédérales civiles de l’exécutif américain sont tenues d’appliquer les correctifs d’ici le 19 décembre 2022, mais la CISA « recommande vivement à toutes les organisations de réduire leur exposition aux cyberattaques en accordant la priorité à la correction rapide des vulnérabilités du catalogue dans le cadre de leur pratique de gestion des vulnérabilités ».