甲骨文 Access Manager 現(xiàn)漏洞，黑客連管理員賬號(hào)都能霸占

雷鋒網(wǎng)消息，據(jù)外媒美國時(shí)間5月3日?qǐng)?bào)道，來自 SEC 漏洞咨詢實(shí)驗(yàn)室安全研究人員 Wolfgang Ettlinger 在甲骨文 Access Manager（以下簡稱 OAM）上發(fā)現(xiàn)了一個(gè)安全漏洞，黑客可以利用它遠(yuǎn)程繞過身份驗(yàn)證程序，接管任何用戶的賬號(hào)。如果黑客愿意，他們連管理員的賬號(hào)都能霸占。

OAM 不但支持多重身份驗(yàn)證（MFA），還能實(shí)現(xiàn) Web 單點(diǎn)登錄（SSO）。此外，會(huì)話管理、標(biāo)準(zhǔn) SAML 聯(lián)盟和 OAuth 等安全防護(hù)一應(yīng)俱全，方便用戶安全的訪問移動(dòng)應(yīng)用和外部云存儲(chǔ)。不過，這樣嚴(yán)密的防護(hù)依然存在漏洞。

這次發(fā)現(xiàn)的漏洞代號(hào)為 CVE-2018-2879，與 OAM 使用的一種有缺陷的密碼格式有關(guān)。

“OAM 是甲骨文 Fusion Middleware 的組成部分之一，后者負(fù)責(zé)掌控各種類型網(wǎng)絡(luò)應(yīng)用的認(rèn)證?！盨EC 的 Ettlinger 解釋道。

“我們會(huì)通過演示證明加密實(shí)現(xiàn)的小特性是如何對(duì)產(chǎn)品安全造成實(shí)際影響的。只要利用了這一漏洞，我們就能制作任意的身份驗(yàn)證令牌來扮演任何用戶，同時(shí)還能有效的破壞 OAM 的主要功能。”Ettlinger 說道。

Ettlinger 解釋稱，攻擊者可以利用該漏洞找到 OAM 處理加密信息的弱點(diǎn)，誘使該軟件意外透露相關(guān)信息，隨后利用這些信息冒充其他用戶。

攻擊者能組織一場填充攻擊，使甲骨文披露賬戶的授權(quán) Cookie。隨后它就能制作出能生成有效登陸密匙的腳本，想冒充誰就冒充誰。

“在研究中我們發(fā)現(xiàn)，OAM 用到的密碼格式有個(gè)嚴(yán)重的漏洞，只要稍加利用，我們就能制作出會(huì)話令牌。拿這個(gè)令牌去騙 WebGate 一騙一個(gè)準(zhǔn)，想接入受保護(hù)的資源簡直易如反掌?！盓ttlinger 解釋道。“更可怕的是，會(huì)話 Cookie 的生成過程讓我們能冒充任意用戶名搞破壞。”

雷鋒網(wǎng)了解到，OAM 11g 和 12c 版本都受到了該漏洞的影響。

Ettlinger 去年 11 月就將該漏洞報(bào)告給了甲骨文，不過 IT 巨頭在今年 4 月的補(bǔ)丁更新中才解決了在這一問題。如果你也在用 OAM，還是抓緊時(shí)間打補(bǔ)丁來封堵漏洞吧。

雷鋒網(wǎng)Via. Security Affairs

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。