یک آسیب‌پذیری بسیار بحرانی با نمره ۱۰ در مقیاس CVSS به مهاجمان اجازه می‌دهد تا سیستم مدیریت هویت اوراکل را در اختیار گیرند.

یک آسیب‌پذیری بسیار بحرانی در سیستم مدیریت هویت سازمانی اوراکل^(۱) کشف شده است که می‌تواند توسط مهاجمان از راه دور و غیرقابل‌اعتماد مورد سوءاستفاده قرار گیرد تا کنترل کامل سیستم‌های آسیب‌دیده را در اختیار گیرند.

اوراکل در گزارش منتشرشده در تاریخ ۳۰ اکتبر ۲۰۱۷ اعلام کرده است[۱] که این آسیب‌پذیری بحرانی به‌عنوان CVE-2017-10151 نام‌گذاری شده است و دارای بالاترین امتیاز در مقیاس CVSS یعنی ۱۰ بوده و بدون هیچ‌گونه دخالتی از سوی کاربر قابل بهره‌برداری است. اوراکل جزئیات بیشتری در این زمینه منتشر نکرده است.

این آسیب‌پذیری بر روی سیستم مدیریت هویت سازمانی که جزئی از Oracle Fusion Middleware است تأثیر می‌گذارد که یک سیستم مدیریت هویت سازمانی است که به‌طور خودکار سطح دسترسی کاربران در سازمان موردنظر را مدیریت می‌کند.

این نقص امنیتی ناشی از یک «حسابِ کاربری پیش‌فرض» است که مهاجم غیرمجاز با استفاده از آن و در یک شبکه مشابه می‌تواند از طریق HTTP، سیستم مدیریت هویت اوراکل را به خطر بیندازد.

اوراکل به‌منظور جلوگیری از بهره‌برداری از این آسیب‌پذیری در سطح اینترنت، جزئیات کامل آن را منتشر نکرده است، اما در اینجا “حساب پیش‌فرض” می‌تواند یک حساب مخفیِ hard-code شده یا بدون کلمه عبور باشد.

اوراکل در گزارش منتشرشده در این مورد بیان کرده است: “این آسیب‌پذیری بدون استفاده از احراز هویت و از راه دور قابل بهره‌برداری است. به‌عنوان‌مثال، ممکن است در یک شبکه بدون نیاز به اطلاعاتِ کاربر، مورد بهره‌برداری قرار گیرد.”

این آسیب‌پذیری که به‌راحتی قابل بهره‌برداری است بر روی نسخه‌های سیستم ‌مدیریت هویت اوراکل شامل ۱۱٫۱٫۱٫۷، ۱۱٫۱٫۱٫۹، ۱۱٫۱٫۲٫۱٫۰، ۱۱٫۱٫۲٫۲٫۰، ۱۱٫۱٫۲٫۳٫۰ و ۱۲٫۲٫۱٫۳٫۰ تأثیرگذار است.

اوراکل وصله‌هایی را برای همه نسخه‌های تحت تأثیر این آسیب‌پذیری منتشر کرده است، بنابراین به کاربران توصیه می‌شود که این وصله‌ها را نصب کنند قبل از آنکه مهاجمان بتوانند با بهره‌برداری از این آسیب‌پذیری سازمان موردنظر را موردحمله قرار دهند.

این شرکت همچنین هشدار داده است که به علت بحرانی بودن این آسیب‌پذیری، به کاربران شدیداً توصیه می‌شود که به‌روزرسانی‌های منتشرشده را هر چه سریع‌تر بر روی سیستم‌های خود نصب کنند.

محصولاتی که تحت پشتیبانی برتر^(۲) یا پشتیبانی گسترده^(۳) از طرف اوراکل نیستند، برای وجودِ این آسیب‌پذیری مورد آزمایش قرار نمی‌گیرند.

بااین‌حال، اوراکل در این مورد گفته است: احتمال دارد که نسخه‌های قبلی منتشرشده نیز تحت تأثیر این آسیب‌پذیری‌ها قرار داشته باشند. درنتیجه، اوراکل توصیه می‌کند مشتریان سیستم‌های خود را به نسخه‌های پشتیبانی شده ارتقاء دهند.

وصله امنیتی برای این آسیب‌پذیری تقریباً دو هفته پس از به‌روزرسانی حیاتی اوراکل برای ماه اکتبر ۲۰۱۷ منتشر شد که درمجموع ۲۵۲ آسیب‌پذیری در محصولات اوراکل را شامل می‌شد که ۴۰ آسیب‌پذیری در Fusion Middleware قرار داشتند و ۲۶ آسیب‌پذیری بدون نیاز به احراز هویت و از راه دور قابل بهره‌برداری بودند.

منابع

[۱] https://thehackernews.com/2017/10/oracle-identity-manager.html

[۲] http://www.oracle.com/technetwork/security-advisory/alert-cve-2017-10151-4016513.html

(۱) Oracle’s enterprise identity management system
(۲) Premier Support
(۳) Extended Support