A Agência de Segurança Cibernética e Infraestrutura (CISA) dos EUA adicionou na segunda-feira, 28, uma falha crítica que afeta o Oracle Fusion Middleware ao seu Catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), citando evidências de exploração ativa.
A vulnerabilidade, rastreada como CVE-2021-35587, tem escore de 9.8 no sistema de pontuação comum de vulnerabilidades (CVSS) e afeta o Oracle Access Manager (OAM) versões 11.1.2.3.0, 12.2.1.3.0 e 12.2.1.4.0.
A exploração bem-sucedida do bug de execução de comando remoto pode permitir que um invasor não autenticado com acesso à rede comprometa e assuma completamente as instâncias do Access Manager.
“Ele pode dar ao invasor acesso ao servidor OAM, para criar qualquer usuário com quaisquer privilégios ou apenas obter a execução de código no servidor da vítima”, observou o pesquisador de segurança vietnamita Nguyen Jang, que relatou o bug ao lado de Peterjson, no início de março.
O problema foi resolvido pela Oracle como parte de sua atualização crítica de patch em janeiro.
Veja isso
Oracle recomenda urgência na aplicação de patches
Bug no Oracle Cloud poderia dar acesso a dados de usuários
Detalhes adicionais sobre a natureza dos ataques e a escala de exploração não estão claros. Os dados coletados pela empresa de inteligência de ameaças GreyNoise mostram que as tentativas de explorar a falha estão em andamento e são originárias dos EUA, China, Alemanha, Cingapura e Canadá.
Também adicionada pela CISA ao catálogo KEV está a falha recentemente corrigida de estouro de buffer de heap no navegador Google Chrome (CVE-2022-4135) que a gigante da internet reconheceu como tendo sido explorada.As agências federais são obrigadas a aplicar os patches do fornecedor até 19 de dezembro, para proteger suas redes contra possíveis ameaças.