漏洞风险提示｜Oracle Access Manager 反序列化代码执行漏洞（CVE-2021-35587）

Oralce Access Manager（OAM） 是美国甲骨文公司（Oracle）提供的身份管理解决方案，用于进行网站访问管理和用户身份管理，提供身份管理（使用用户、组和机构管理、自助服务、流程管理功能和委托管理）、验证和授权服务以及合规性报告。该系统多用于大型机构和组织，有大量的国内外政府机构、跨国企业使用该系统用于其身份管理。目前美国网络安全和基础设施安全局 （CISA） 已经将OAM反序列化代码执行漏洞（CVE-2021-35587）列入已知利用漏洞目录。

该漏洞虽然已于2022年1月发布补丁，但根据边界无限烛龙实验室监测发现，互联网上存在大量使用 Oracle Access Manager 11g 版本的企业，其 OAM 处于未修复或未完全修复该漏洞的状态。Oracle Access Manager 11g 版本在2022年后已经处于 Oracle 公司的 Sustaining Support （最低优先级的支持）状态，因此大量使用Oracle Access Manager 11g 版本的企业处于风险状态。

边界无限通过资产测绘平台进行全网探测后发现，国内外大量重点企业单位都受该漏洞影响，利用该漏洞可直接控制企业核心IAM系统。鉴于此，边界无限发布该漏洞风险提示。

通过对该漏洞的分析研判，边界无限烛龙实验室认为该漏洞影响范围广泛，危害严重。

攻击者无需授权即可通过 Java 反序列化漏洞，绕过黑名单限制实现远程代码执行，获取服务器权限。

11.1.2.3.0

12.2.1.3.0

12.2.1.4.0

1. Oracle 已针对 11g 的部分版本以及 12c 版本发布补丁；

2. 安装基于RASP技术的靖云甲ADR，可天然免疫该漏洞攻击：

3. 如无业务需求，请屏蔽风险路由。

https://www.oracle.com/security-alerts/cpujan2022.html

https://testbnull.medium.com/oracle-access-manager-pre-auth-rce-cve-2021-35587-analysis-1302a4542316

https://www.cisa.gov/known-exploited-vulnerabilities-catalog

· END ·