漏洞风险提示
Oralce Access Manager(OAM) 是美国甲骨文公司(Oracle)提供的身份管理解决方案,用于进行网站访问管理和用户身份管理,提供身份管理(使用用户、组和机构管理、自助服务、流程管理功能和委托管理)、验证和授权服务以及合规性报告。该系统多用于大型机构和组织,有大量的国内外政府机构、跨国企业使用该系统用于其身份管理。目前美国网络安全和基础设施安全局 (CISA) 已经将OAM反序列化代码执行漏洞(CVE-2021-35587)列入已知利用漏洞目录。
该漏洞虽然已于2022年1月发布补丁,但根据边界无限烛龙实验室监测发现,互联网上存在大量使用 Oracle Access Manager 11g 版本的企业,其 OAM 处于未修复或未完全修复该漏洞的状态。Oracle Access Manager 11g 版本在2022年后已经处于 Oracle 公司的 Sustaining Support (最低优先级的支持)状态,因此大量使用Oracle Access Manager 11g 版本的企业处于风险状态。
边界无限通过资产测绘平台进行全网探测后发现,国内外大量重点企业单位都受该漏洞影响,利用该漏洞可直接控制企业核心IAM系统。鉴于此,边界无限发布该漏洞风险提示。
通过对该漏洞的分析研判,边界无限烛龙实验室认为该漏洞影响范围广泛,危害严重。
攻击者无需授权即可通过 Java 反序列化漏洞,绕过黑名单限制实现远程代码执行,获取服务器权限。
11.1.2.3.0
12.2.1.3.0
12.2.1.4.0
1. Oracle 已针对 11g 的部分版本以及 12c 版本发布补丁;
2. 安装基于RASP技术的靖云甲ADR,可天然免疫该漏洞攻击:
3. 如无业务需求,请屏蔽风险路由。
https://www.oracle.com/security-alerts/cpujan2022.html
https://testbnull.medium.com/oracle-access-manager-pre-auth-rce-cve-2021-35587-analysis-1302a4542316
https://www.cisa.gov/known-exploited-vulnerabilities-catalog
· END ·
免费试用请联系
原文始发于微信公众号(边界无限):漏洞风险提示|Oracle Access Manager 反序列化代码执行漏洞(CVE-2021-35587)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论