В Oracle Fusion Middleware обнаружена критическая уязвимость безопасности, затрагивающая конкретно компоненты Oracle Identity Manager и Oracle Web Services Manager. Эта уязвимость, отслеживаемая как CVE-2024-21011, является уязвимостью удаленного выполнения кода (RCE) и имеет максимальный балл серьезности 10.0 по общей шкале оценки уязвимостей (CVSS). Уязвимость может быть использована по сети без необходимости учетных данных пользователя, что делает ее первостепенной целью для злоумышленников. Если эти компоненты доступны из интернета, злоумышленники могут использовать уязвимость для выполнения произвольного кода на базовой системе, что потенциально может привести к полному компрометации сервера, краже данных и дальнейшему перемещению внутри сети организации. Компания Oracle срочно устранила эту проблему в последнем критическом патче (CPU) за апрель 2024 года.
Техническая природа уязвимости заключается в неправильной обработке сериализованных данных в затронутых промежуточных службах. Злоумышленники могут создать вредоносный сериализованный объект и отправить его на уязвимую конечную точку. Поскольку система не выполняет надлежащую проверку или очистку этих входящих данных перед десериализацией, вредоносная полезная нагрузка выполняется в контексте сервера приложений. Этот тип атаки на десериализацию является хорошо известным вектором, который может предоставить злоумышленнику те же привилегии, что и процесс Java, запускающий промежуточное ПО Oracle, который часто работает с правами высокого уровня. Отсутствие требования аутентификации резко снижает порог эксплуатации, позволяя даже относительно неискушенным злоумышленникам использовать публичный доказательный код, как только он станет доступным.
Последствия успешной эксплуатации серьезны. Oracle Identity Manager является центральным компонентом для управления пользовательскими идентификаторами и правами доступа в корпоративных системах. Его компрометация может позволить злоумышленнику создавать административные учетные записи, изменять разрешения и обходить все средства контроля доступа. Oracle Web Services Manager — это шлюз для управления и защиты трафика веб-служб; его компрометация может позволить перехватывать или манипулировать конфиденциальными API-коммуникациями. Злоумышленник, получивший точку опоры через эту уязвимость RCE, может развернуть ransomware, установить постоянные бэкдоры, похитить конфиденциальные корпоративные или клиентские данные или использовать сервер в качестве плацдарма для атак на внутренние сегменты сети.
Oracle выпустила патчи для этой критической уязвимости, и требуется немедленное действие. Команды безопасности должны отдать приоритет применению Критического патча за апрель 2024 года ко всем затронутым установкам Oracle Fusion Middleware. Будучи критической, эксплуатируемой по сети уязвимостью без предварительных условий аутентификации, ожидается, что за ней будут активно охотиться и эксплуатировать в дикой природе. Организациям также следует рассмотреть возможность реализации дополнительных защитных мер, таких как сегментация сети, чтобы гарантировать, что эти интерфейсы управления не подвергаются прямому воздействию интернета, и мониторинг аномальных исходящих соединений или неожиданных процессов, порождаемых на серверах промежуточного ПО. Учитывая высокие ставки, задержка с установкой этого патча представляет собой значительный и неприемлемый бизнес-риск.
