Oracle a corrigé une vulnérabilité d’exécution de code à distance (RCE) affectant Oracle Fusion Middleware et divers autres systèmes Oracle.

Les chercheurs en sécurité ‘Peterjson’ et ‘Jang’ ont signalé une paire de failles graves à Oracle qui peuvent être enchaînées pour atteindre RCE, qu’ils ont surnommé le ‘Exploit miraculeux‘.

Les chercheurs ont déclaré avoir informé en privé Oracle d’une grave vulnérabilité qu’ils avaient découverte dans Oracle Access Manager, suivie comme CVE-2021–35587. Le bogue CVSS 9.8 est décrit comme une faille «facilement exploitable» qui permet à des attaquants non authentifiés d’accéder au réseau via HTTP pour la prise de contrôle d’applications.

Découverte accidentelle

Jang dit le défaut a été découvert par accident alors que le duo «construisait un PoC [proof of concept exploit code] pour un autre méga 0-day ».

Tout en travaillant avec la Zero Day Initiative (ZDI), cette recherche a conduit à la découverte de CVE-2022–21445. Ce « méga » bogue, avec un score de gravité de 9,8, a été trouvé dans l’architecture Oracle Application Development Framework (ADF) Faces, un composant d’Oracle Fusion Middleware.

Le problème de désérialisation des données de confiance peut être enchaîné avec CVE-2022–21497 (CVSS 8.1), une faille de reprise dans Oracle Web Services Manager, pour réaliser la pré-authentification RCE.

CVE-2022-21445 affecte une variété de produits et services basés sur Fusion Middleware, divers systèmes Oracle et même l’infrastructure cloud d’Oracle. Des attaquants non authentifiés ayant accès au réseau, via HTTP, peuvent abuser de la chaîne de vulnérabilité.

« Une dernière chose à noter, tout site Web développé par le framework ADF Faces est affecté », a déclaré Peterjson.

Divulgation et correctifs

Après avoir testé les services et les domaines Oracle, le rapport de vulnérabilité a été soumis au fournisseur le 25 octobre 2021. Le même mois, Oracle a confirmé la réception du rapport et a déclaré qu’il enquêtait. Cependant, il a fallu près de six mois pour qu’un correctif soit publié.

Les deux problèmes ont été résolus dans Oracle Série de patchs d’avril. Oracle est l’un des nombreux fournisseurs de technologie, aux côtés de Microsoft et d’Adobe, qui publie une mise à jour mensuelle des correctifs pour résoudre les bogues de son logiciel.

Les entreprises utilisant des logiciels Oracle vulnérables sont invitées à appliquer le correctif immédiatement.

D’autres fournisseurs potentiellement touchés par le RCE de pré-autorisation ont été informés via leurs programmes de primes de bogues respectifs. Peterjson a déclaré à The Stack que les entreprises ont été informées si elles n’ont pas appliqué le correctif d’Oracle, et qu’il estime que le nombre d’instances exposées est « énorme ».

« Pourquoi [did] on hacke certains sites d’Oracle ? Parce que nous voulons démontrer l’impact sur Oracle et leur faire savoir que cette vulnérabilité est extrêmement dangereuse, elle affecte le système Oracle[s] et les clients d’Oracle », a commenté Peterjson.

« C’est pourquoi nous voulons qu’Oracle agisse dès que possible. Mais comme vous pouvez le voir, 6 mois pour qu’Oracle le corrige, je ne sais pas pourquoi, mais nous devons l’accepter et suivre la politique d’Oracle.

a contacté Oracle et nous mettrons à jour cette histoire si et quand nous entendrons.