Oracle Access Manager中的漏洞可以让攻击者模拟任何用户帐户

安全研究员沃尔夫冈·埃特林格(Wolfgang Ettlinger)从美国证券交易委员会(SEC)咨询漏洞实验室发现，在Oracle Access Manager中存在一个安全漏洞，远程攻击者可以利用该漏洞绕过身份验证，并接管任何用户或管理员对受影响系统的帐户。

Oracle访问管理为Web SSO提供了MFA、粗粒度授权和会话管理，以及标准SAML联合和OAuth功能，以支持对移动应用程序和外部云的安全访问。

该缺陷被跟踪为CVE-2018-2879，它涉及Oracle Access Manager使用的一种有缺陷的加密格式。

“Oracle Access Manager是Oracle Fusion中间件的组件，它负责处理各种web应用程序的身份验证，”SEC咨询研究员沃尔夫冈·埃特林格解释说。

“我们将演示加密实现的微小特性对产品安全性的实际影响。通过利用这个漏洞，我们可以伪造任意的认证令牌，让我们可以模仿任何用户，有效地破坏OAM的主要功能。

Ettlinger解释说，攻击者可以利用OAM处理加密消息的方式来欺骗软件，使其不小心泄露可以用于模拟其他用户的信息。

攻击者可以提供一个填充oracle攻击来显示帐户的授权cookie，他可以创建一个脚本，为任何需要的用户(包括管理员)生成有效的登录密钥。

在一个研究项目中，我们发现OAM使用的加密格式存在严重缺陷。通过利用这个漏洞，我们能够制作一个会话令牌。当WebGate出现这个令牌时，它将接受它作为一种合法的身份验证形式，并允许我们访问受保护的资源。”专家解释说。

“更重要的是，会话cookie制作过程允许我们为任意用户名创建一个会话cookie，从而允许我们模拟OAM已知的任何用户。”

下面的视频PoC显示攻击者可以通过触发缺陷来模拟任意用户。

Oracle Access Management 11g和12c版本都受到了漏洞的影响。专家们使用一个简单的谷歌Dork找到了大约11.800个OAM安装，其中一些属于知名组织(包括Oracle)。我们必须考虑到有许多其他的装置是不能从互联网上到达的。

Oracle访问管理器

专家们在2017年11月向甲骨文公司披露了这一缺陷。该IT巨头在2018年4月发布了最新的关键补丁更新(CPU)。

“由于这个补丁是在Oracle的定期更新计划中提供的，我们希望OAM管理员现在已经应用了补丁。”如果这不是你的组织的情况，现在是时候这么做了。

关于cpo -2018-2879的技术细节，包括在证券交易委员会公布的安全咨询中，咨询密码能力中心。

Pierluigi帕格尼尼

(安全事务- c_ -2018-2879，黑客)