Una vulnerabilidad crítica con una puntuación CVE de 9.8 afecta a Fusion Middleware, a varios sistemas de Oracle e incluso a la nube de Oracle. Parche inmediatamente

Oracle ha parcheado una vulnerabilidad de ejecución remota de código (RCE) que afecta a Oracle Fusion Middleware y varios otros sistemas de Oracle.

Los investigadores de ciberseguridad ‘Peterjson’ y ‘Jang’ informaron un par de vulnerabilidades criticas en Oracle que se pueden encadenar para lograr RCE, al que denominaron ‘Miracle Exploit‘.

Los investigadores dijeron que le informaron a Oracle en privado sobre una vulnerabilidad grave que descubrieron en Oracle Access Manager, rastreada como CVE-2021–35587. La criticidad de vulnerabilidad era CVSS 9.8 y se describe como una falla “fácilmente explotable” que permite a los atacantes no autenticados a través de HTTP tomar el control de la aplicación.


Descripción 

Jang dijo que la vulnerabilidad fue descubierta por accidente cuando el dúo estaba construyendo una prueba de concepto para otra vulnerabilidad de día cero”.

Mientras trabajaba con Zero Day Initiative (ZDI), esta investigación condujo al descubrimiento de CVE-2022–21445. Esta gran vulnerabilidad, obtuvo  una puntuación de gravedad de 9.8, se encontró en la arquitectura de Oracle Application Development Framework (ADF) Faces , un componente de Oracle Fusion Middleware.


El problema de deserialización de datos confiables se puede encadenar con CVE-2022–21497 (CVSS 8.1), una vulnerabilidad de adquisición en Oracle Web Services Manager, para lograr la RCE de autenticación previa.

CVE-2022–21445 afecta una variedad de productos y servicios basados ​​en Fusion Middleware, varios sistemas de Oracle e incluso la infraestructura de nube de Oracle. Los atacantes no autenticados con acceso a la red, a través de HTTP, pueden abusar de la cadena de vulnerabilidades.

“Una cosa más a tener en cuenta, cualquier sitio web desarrollado por el marco ADF Faces se ve afectado”, dijo Peterjson.

Mitigación 

Después de probar los servicios y dominios de Oracle, el informe de vulnerabilidad se envió al proveedor el 25 de octubre de 2021. En el mismo mes, Oracle confirmó la recepción del informe y dijo que estaba investigando. Sin embargo, tomó la mayor parte de seis meses para que se emitiera un parche.

Ambas vulnerabilidades se han resuelto en la ronda de parches de abril. Oracle es uno de los muchos proveedores de tecnología, junto con Microsoft y Adobe, que lanza una actualización mensual de parches para corregir vulnerabilidades en su software.

Se insta a las empresas que utilizan software vulnerable de Oracle a aplicar el parche de inmediato.

Otros proveedores potencialmente afectados por el RCE previo a la autenticación fueron notificados a través de sus respectivos programas de recompensas por errores. Peterjson ha informado a las empresas si no han aplicado el parche de Oracle y que cree que la cantidad de instancias expuestas es enorme. Esta vulnerabilidad es súper peligrosa, afecta a los sistemas de Oracle y a los clientes de Oracle.