Az Egyesült Államok Kiberbiztonsági és Infrastruktúra-biztonsági Ügynöksége (CISA) egy Oracle Fusion Middleware-t érintő kritikus hibát vett fel a KEV (Known Exploited Vulnerabilities) katalógusába. A szövetségi ügynökségeknek a biztonsági frissítést 2022. december 19-ig kötelezően telepíteniük kell.
A CVE-2021-35587 számon nyilvántartott sebezhetőség 9,8-as CVSS pontszámmal rendelkezik, és az OAM (Oracle Access Manager) 11.1.2.3.0, 12.2.1.3.0 és 12.2.1.4.0 verzióit érinti. A távoli parancsfuttatási hiba sikeres kihasználása lehetővé teheti egy hálózati hozzáféréssel rendelkező támadó számára, hogy teljesen kompromittálja az Access Manager példányait, így képes lehet felhasználókat létrehozni bármilyen jogosultsággal, vagy bármilyen kódot futtatni az áldozat szerverén.
A problémát az Oracle a 2022 januárjában kiadott frissítés részeként orvosolta.
A GreyNoise által gyűjtött adatok azt mutatják, hogy a hiba kihasználására irányuló kísérletek folyamatosak, a legtöbb próbálkozás amerikai, kínai, német, szingapúri és kanadai IP címekről indul.
Érdemes megemlíteni, hogy a CISA szintén felvette a KEV katalógusába a Google Chrome böngészőt érintő, nemrégiben javított heap buffer overflow hibát (CVE-2022-4135), amellyel már kiberbűnözők támadások során visszaéltek.
