Una vulnerabilidad RCE en Oracle Fusion Middleware está siendo explotada – CVE-2021-35587

Oracle Access Manager (OAM) contiene una vulnerabilidad RCE de autenticación previa (CVE-2021-35587) que se corrigió en enero de 2022. Sin embargo, los adversarios aún explotan la vulnerabilidad según lo confirmado por la Agencia de Seguridad de Infraestructura y Ciberseguridad que añadió la vulnerabilidad a su Catálogo. CVE-2021-35587 ha sido agregado al Catálogo de Vulnerabilidades Explotadas Conocidas por CISA, y se ha pedido a todas las agencias federales que lo solucionen a más tardar el 19 de diciembre. Además se ha añadido a la base de datos que mantiene la organización CVE-2022-4135, la octava vulnerabilidad de día cero de Chrome corregida por Google en lo que va de año.

Aunque CISA solo emitió la advertencia esta semana los datos recopilados por una empresa que se especializa en inteligencia de amenazas sugieren que los esfuerzos para explotar la debilidad en la naturaleza comenzaron en septiembre y la actividad se intensificó en octubre y noviembre. Greynoise ha detectado hasta ahora intentos de explotación que se originan en más de una docena de direcciones IP separadas. Después de que Jang y Peterjson revelaran una parte de su exploit para CVE-2021-35587 en marzo de 2022 desde entonces se han publicado en GitHub muchos exploits de prueba de concepto para la vulnerabilidad.

Sin embargo, según CISA ahora se han identificado esfuerzos de explotación exitosos. Lamentablemente la agencia no ha proporcionado ninguna información o detalles nuevos sobre estos ataques.

Cuando los investigadores de seguridad “Jang” (Nguyen Jang) y “Peterjson” estaban “desarrollando PoC para otro mega-día 0” en la segunda mitad de 2021, hicieron un descubrimiento no intencional que condujo al descubrimiento de CVE-2021-35587.

Oracle Access Manager es un software ampliamente utilizado por las empresas para el inicio de sesión único (SSO) como parte de la suite Oracle Fusion Middleware. La vulnerabilidad existe en el componente OpenSSO Agent del producto Oracle Access Manager.

Jang explicó a principios de este año que puede permitir que un hacker no autenticado con acceso a la red a través de HTTP comprometa Oracle Access Manager y lo use para crear usuarios con privilegios o ejecutar código malicioso en el servidor de la víctima. Esta fue una de las vulnerabilidades que se descubrió a principios de este año.

La amenaza de seguridad afectFó las versiones 11.1.2.3.0, 12.2.1.3.0 y 12.2.1.4.0 de Oracle Access Manager y se parcheó en esas versiones compatibles. Sin embargo según Jang también afecta a Oracle Weblogic Server 11g (10.3.6.0) y OAM 11g (11.1.2.0.0) los cuales se descontinuaron como productos compatibles el 1 de enero de 2022 y no tienen un parche disponible para esta vulnerabilidad RCE.