CISA Warns of Actively Exploited Critical Oracle Fusion Middleware Vulnerability
2022/11/29 TheHackerNews — 11月28日 (月) に米国の Cybersecurity and Infrastructure Security Agency (CISA) は、活発な悪用の証拠があるとして、Oracle Fusion Middleware に影響する脆弱性を KEV (Known Exploited Vulnerabilities) カタログに追加した。この脆弱性 CVE-2021-35587 の CVSS スコアは 9.8 であり、Oracle Access Manager (OAM) のバージョン 11.1.2.3.0/12.2.1.3.0/12.2.1.4.0 に影響を及ぼしている。
このリモートコマンド実行の脆弱性の悪用に成功した、ネットワーク・アクセス権を持つ未認証の攻撃者は、Access Manager インスタンスを完全に侵害し、乗っ取ることができるとされる。
2022年3月の初めに peterjson と伴に、このバグを指摘したベトナムのセキュリティ研究者 Nguyen Jang (Janggggg) は、「攻撃者が OAM サーバーにアクセスすることで、被害者のサーバ上で、任意の権限を持つ任意のユーザー・アカウントの作成や、コード実行を行う可能性が生じる」と述べている。
この問題については、2022年1月に Oracle が、Critical Patch Update 一部として対処している。
攻撃の性質や悪用行為の規模に関する詳細は、現時点では明らかにされていない。脅威情報企業である GreyNoise が収集したデータによると、この欠陥を武器化する試みは進行中であり、米国/中国/ドイツ/シンガポール/カナダが発信元となっている。
また、CISA が KEV カタログに追加したものとして、最近パッチが適用された Chrome のヒープバッファ・オーバーフローの欠陥 (CVE-2022-4135) があり、Google も野放しでの悪用を認めている。
連邦政府機関は、潜在的な脅威からネットワークを保護するために、2022年12月19日までに、これらのベンダーから提供されるパッチを適用するよう義務付けている。
Oracle の脆弱性 CVE-2021-35587 ですが、お隣のキュレーション・チームに聞いてみたら、文中にあるように 2021年1月の Critical Patch Update で対応されているとのことでした。また、CISA KEV で Oracle を検索してみたら、全体で 30件ほどあり、そのうちの 20件強が 2022年のものでした。よろしければ、Oracle で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.