Son Derece Kritik Kusur (CVSS Puanı 10) Hackerların Hijack Oracle Kimlik Yöneticisine İzin Vermektedir

Oracle’ın kurumsal kimlik yönetimi sisteminde, etkilenen sistemlerde tam denetime sahip olmak için uzak, kimliği doğrulanmamış saldırganlar tarafından kolayca sömürülebilen son derece kritik bir güvenlik açığı keşfedilmiştir.

CVE-2017-10151 olarak izlenen kritik güvenlik açığı, 10’un en yüksek CVSS puanına tahsis edilmiş ve kullanıcı etkileşimi olmadan istismar edilmesi kolay olan Oracle, danışma belgesinde , konu hakkında birçok ayrıntıya yer vermeden Pazartesi günü yayınlandığını söyledi .

Bu güvenlik açığı, kullanıcıların işletmelerdeki erişim ayrıcalıklarını otomatik olarak yöneten bir kurumsal kimlik yönetim sistemi olan Oracle Fusion Middleware’in Oracle Identity Manager (OIM) bileşenini etkiler.

Güvenlik boşluğu, aynı kimlik üzerindeki kimliği doğrulanmamış bir saldırganın Oracle Identity Manager’ın güvenliğini aşmak için HTTP üzerinden erişebildiği bir “varsayılan hesap” dan kaynaklanmaktadır. Oracle, vahşi ortamlarda sömürülmeyi önlemek için güvenlik açığının tüm ayrıntılarını yayınlamadı, ancak burada “varsayılan hesap”, kodlanmış veya şifrelenmemiş gizli bir hesap olabilir.

Oracle’ın danışma belgesinde “Bu güvenlik açığı kimlik doğrulama olmaksızın uzaktan kullanılabilir, yani kullanıcı kimlik bilgileri gerektirmeden ağ üzerinden kullanılabilir.”
Kolayca tanınabilen güvenlik açığı, Oracle Identity Manager 11.1.1.7, 11.1.1.9, 11.1.2.1.0, 11.1.2.2.0, 11.1.2.3.0 ve 12.2.1.3.0 sürümlerini etkiler.

Oracle, etkilenen ürünlerin tüm sürümleri için düzeltme ekleri yayınladı. Bu nedenle, bilgisayar korsanlarının kuruluşunuzu hedeflemek için bu güvenlik açığından yararlanabilmesi için yama yüklemeniz önerilir.

Şirket, “Bu açıklığın ciddiyeti nedeniyle Oracle, müşterilerin bu Güvenlik Uyarısı tarafından sağlanan güncellemeleri gecikmeden uygulamasını şiddetle tavsiye ediyor” dedi. Premier Destek veya Genişletilmiş Destek kapsamında olmayan ürün sürümleri, güvenlik açığının varlığı açısından test edilmez.

Ancak Oracle, “etkilenen sürümlerin önceki sürümlerinin de bu güvenlik açıklarından etkilenme olasılığının yüksek olduğunu” belirtti . Sonuç olarak Oracle, müşterilerin desteklenen sürümlere yükseltilmesini önerir.

Bu güvenlik açığının güvenlik düzeltme eki, Ekim 2017 için Oracle’ın normal Kritik Düzeltme Eki (CPU) güncellemesinden yaklaşık iki hafta sonra gelir; bu da ürünlerde 26 tanesi Fusion Middleware dahil olmak üzere toplam 252 güvenlik açığını yayar.