La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) el lunes adicional una falla crítica que afecta a Oracle Fusion Middleware a sus vulnerabilidades explotadas conocidas (KEV) Catálogo, citando evidencia de explotación activa.
La vulnerabilidad, rastreada como CVE-2021-35587tiene una puntuación CVSS de 9,8 e impacta en las versiones 11.1.2.3.0, 12.2.1.3.0 y 12.2.1.4.0 de Oracle Access Manager (OAM).
La explotación exitosa del error de ejecución de comandos remotos podría permitir que un atacante no autenticado con acceso a la red comprometa completamente y se haga cargo de las instancias de Access Manager.
«Puede dar acceso al atacante al servidor OAM, crear cualquier usuario con privilegios o simplemente obtener la ejecución del código en el servidor de la víctima», dijo el investigador de seguridad vietnamita Nguyen Jang (jagggggg), quien informó el error junto con peterson, señalado a principios de marzo.
El problema fue abordado por Oracle como parte de su Actualización de parche crítico en enero de 2022.
Los detalles adicionales sobre la naturaleza de los ataques y la escala de los esfuerzos de explotación no están claros de inmediato. Los datos recopilados por la firma de inteligencia de amenazas GreyNoise muestran que intentos a armar la falla han estado en curso y se originan en los EE. UU., China, Singapur y Canadá.
CISA también agregó al catálogo de KEV la falla de desbordamiento del búfer de pila recientemente parcheada en el navegador web Google Chrome (CVE-2022-4135) que el gigante de Internet reconoció como un abuso en la naturaleza.
Las agencias federales deben aplicar los parches de los proveedores antes del 19 de diciembre de 2022 para proteger las redes contra posibles amenazas.