L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) lundi ajoutée une faille critique impactant Oracle Fusion Middleware sur ses vulnérabilités exploitées connues (KEV) Catalogue, citant des preuves d’exploitation active.
La vulnérabilité, suivie comme CVE-2021-35587affiche un score CVSS de 9,8 et affecte les versions 11.1.2.3.0, 12.2.1.3.0 et 12.2.1.4.0 d’Oracle Access Manager (OAM).
L’exploitation réussie du bogue d’exécution de commande à distance pourrait permettre à un attaquant non authentifié disposant d’un accès au réseau de compromettre complètement et de prendre le contrôle des instances d’Access Manager.
« Cela peut donner à l’attaquant un accès au serveur OAM, créer n’importe quel utilisateur avec n’importe quel privilège, ou simplement obtenir l’exécution de code sur le serveur de la victime », a déclaré le chercheur en sécurité vietnamien Nguyen Jang (Janggggg), qui a signalé le bogue avec peterjson, c’est noté plus tôt ce mois de mars.
Le problème a été traité par Oracle dans le cadre de son Mise à jour du correctif critique en janvier 2022.
Des détails supplémentaires concernant la nature des attaques et l’ampleur des efforts d’exploitation ne sont pas clairs dans l’immédiat. Les données recueillies par la société de renseignement sur les menaces GreyNoise montrent que tentatives à armer la faille sont en cours et proviennent des États-Unis, de la Chine, de Singapour et du Canada.
La CISA a également ajouté au catalogue KEV la faille de dépassement de mémoire tampon récemment corrigée dans le navigateur Web Google Chrome (CVE-2022-4135) que le géant de l’Internet a reconnu comme ayant été abusée dans la nature.
Les agences fédérales sont tenues d’appliquer les correctifs des fournisseurs d’ici le 19 décembre 2022 pour sécuriser les réseaux contre les menaces potentielles.