Oracle Access Manager (OAM) chứa lỗ hổng RCE trước khi xác thực (CVE-2021-35587) đã được vá vào tháng 1 năm 2022. Tuy nhiên, lỗ hổng này vẫn đang bị kẻ thù khai thác, theo xác nhận của Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng, đã thêm lỗ hổng vào Danh mục các lỗ hổng bị khai thác đã biết và yêu cầu tất cả các cơ quan liên bang khắc phục chậm nhất vào ngày 19 tháng 12. Ngoài ra, CVE-2022-4135, lỗ hổng zero-day thứ tám của Chrome đã được Google khắc phục cho đến nay trong năm nay, đã được thêm vào cơ sở dữ liệu mà tổ chức này duy trì.

Mặc dù CISA chỉ đưa ra cảnh báo trong tuần này, dữ liệu được thu thập bởi một doanh nghiệp chuyên về tình báo mối đe dọa cho thấy rằng những nỗ lực khai thác điểm yếu thực tế đã bắt đầu từ tháng 9, với hoạt động mạnh mẽ vào tháng 10 và tháng 11. Greynoise cho đến nay đã phát hiện các nỗ lực khai thác bắt nguồn từ hơn một chục địa chỉ IP riêng biệt. Sau khi Jang và Peterjson tiết lộ một phần khai thác của họ cho CVE-2021-35587 vào tháng 3 năm 2022, nhiều PoC cho lỗ hổng này đã được đăng trên GitHub.

Tuy nhiên, theo CISA, những nỗ lực khai thác thành công hiện đã được xác định. Rất tiếc, cơ quan này đã không cung cấp bất kỳ thông tin hoặc chi tiết mới nào về (các) cuộc tấn công này.

Khi các nhà nghiên cứu bảo mật “Jang” (Nguyen Jang) và “Peterjson” đang “phát triển PoC cho một mega-0day khác” vào nửa cuối năm 2021, họ đã vô tình phát hiện ra CVE-2021-35587.

Oracle Access Manager là một phần mềm được các doanh nghiệp sử dụng rộng rãi cho đăng nhập một lần (SSO) như một phần của bộ phần mềm trung gian Oracle Fusion. Lỗ hổng tồn tại trong thành phần OpenSSO Agent của sản phẩm Oracle Access Manager.

Jang đã giải thích vào đầu năm nay rằng nó có thể cho phép một hacker không được xác thực có quyền truy cập mạng qua HTTP để xâm phạm Oracle Access Manager và sử dụng nó để tạo người dùng với bất kỳ đặc quyền nào hoặc thực thi mã độc hại trên máy chủ của nạn nhân. Đây là một trong những lỗ hổng được phát hiện vào đầu năm nay.

Mối đe dọa bảo mật ảnh hưởng đến các phiên bản 11.1.2.3.0, 12.2.1.3.0 và 12.2.1.4.0 của Oracle Access Manager và đã được vá trong các phiên bản được hỗ trợ đó. Tuy nhiên, theo Jang, nó cũng ảnh hưởng đến Oracle Weblogic Server 11g (10.3.6.0) và OAM 11g (11.1.2.0.0), cả hai đều đã bị ngừng cung cấp dưới dạng sản phẩm được hỗ trợ vào ngày 1 tháng 1 năm 2022 và không có sẵn bản vá cho lỗ hổng RCE này.

Nguồn: https://www.securitynewspaper.com/