La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a ajouté lundi une faille critique affectant Oracle Fusion Middleware à son catalogue KEV (Known Exploited Vulnerabilities), citant des preuves d’exploitation active. La vulnérabilité, identifiée comme CVE-2021-35587, porte un score CVSS de 9,8 et affecte les versions 11.1.2.3.0, 12.2.1.3.0 et 12.2.1.4.0 d’Oracle Access Manager (OAM). L’exploitation réussie du bogue d’exécution de commande à distance pourrait permettre à un attaquant non authentifié disposant d’un accès au réseau de compromettre complètement et de prendre le contrôle des instances d’Access Manager. « Cela peut donner à l’attaquant l’accès au serveur OAM, créer n’importe quel utilisateur avec n’importe quel privilège, ou simplement obtenir l’exécution de code sur le serveur de la victime », a noté le chercheur en sécurité vietnamien Nguyen Jang (Janggggg), qui a signalé le bogue aux côtés de peterjson, plus tôt en mars.
Le problème a été résolu par Oracle dans le cadre de sa mise à jour de correctif critique en janvier 2022. Des détails supplémentaires concernant la nature des attaques et l’ampleur des efforts d’exploitation ne sont pas clairs dans l’immédiat. Les données recueillies par la société de renseignements sur les menaces GreyNoise montrent que des tentatives de militarisation de la faille sont en cours et proviennent des États-Unis, de la Chine, de l’Allemagne, de Singapour et du Canada. La CISA a également ajouté au catalogue KEV la faille de dépassement de mémoire tampon récemment corrigée dans le navigateur Web Google Chrome (CVE-2022-4135) que le géant de l’Internet a reconnu comme ayant été abusée dans la nature. Les agences fédérales sont tenues d’appliquer les correctifs des fournisseurs d’ici le 19 décembre 2022 pour sécuriser leurs réseaux contre les menaces potentielles.