Vulnerabilidad explotada para eludir la autenticación y controlar la cuenta de cualquier usuario en Oracle Access Manager

Wolfgang Ettlinger de SEC Consult Vulnerability Lab, experto en seguridad informática, encontró una vulnerabilidad en Oracle Access Manager que puede ser explotada de manera remota para eludir la autenticación y hacerse cargo de la cuenta de cualquier usuario o administrador en los sistemas afectados.

Profesionales nos comentan que Oracle Access Management proporciona Web SSO con MFA, autorización general y administración de sesiones, y capacidades estándar de SAML Federation y OAuth para permitir el acceso seguro a aplicaciones móviles y a la nube.

Oracle

La vulnerabilidad, CVE-2018-2879, relaciona un formato criptográfico defectuoso utilizado por Oracle Access Manager.

“OAM es el componente de Oracle Fusion Middleware que maneja la autenticación para aplicaciones web”, comento el profesional de SEC Consult Wolfgang Ettlinger.

“Pequeñas peculiaridades de la implementación criptográfica tuvieron un impacto real en la seguridad del producto. Cuando se exploto esta vulnerabilidad, se pudo fabricar tokens de autenticación arbitrarios, lo que nos permitió suplantar a cualquier usuario y romper la funcionalidad principal de OAM”.

Un atacante puede explotar una vulnerabilidad por la manera en que OAM maneja los mensajes cifrados para engañar al software y divulga accidentalmente información que puede usarse para iniciar sesión haciéndose pasar por otros usuarios, Ettlinger explicó.

Un atacante puede hacer un ataque oráculo de relleno para divulgar la cookie de autorización de una cuenta, puede generar una secuencia de comandos para crear claves de inicio de sesión válidas para cualquier usuario deseado, incluidos los administradores.

“Durante una investigación, encontramos que un formato criptográfico utilizado por la OAM exhibe un defecto grave. Al aprovechar esta vulnerabilidad, pudimos crear un token de sesión. Cuando un WebGate se presente con este token, lo aceptaría como una forma legítima de autenticación y nos permitiría acceder a recursos protegidos “, explicó el experto en seguridad informática.

“Por otra parte, el proceso de creación de cookies de sesión nos permite crear una cookie de sesión para un nombre de usuario arbitrario, lo que nos permite suplantar a cualquier usuario”.

Las versiones de Oracle Access Management que se vieron afectadas por la vulnerabilidad, son; 11g y 12c. Los profesionales utilizaron un simple Google Dork para encontrar mas de 11.800 instalaciones de OAM, algunas pertenecientes a organizaciones de alto perfil, incluido Oracle. Es importante considerar que hay muchas otras instalaciones que no son accesibles desde Internet.

Los investigadores de seguridad informática revelaron responsablemente esta falla a Oracle a finales de 2017. Este abordó la vulnerabilidad con la última actualización de parches críticos en abril.