CVE-2021-35587

Oracle Fusion Middleware

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-11-28

Официальное описание

Oracle Fusion Middleware Access Manager allows an unauthenticated attacker with network access via HTTP to takeover the Access Manager product.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2021-35587 — это критическая уязвимость (CVSS 9.8), обнаруженная в компоненте Oracle Access Manager (OAM) продукта Oracle Fusion Middleware. Проблема заключается в небезопасной десериализации Java-объектов в сервлете oam/server/auth_cred.

Неавторизованный злоумышленник может отправить специально сформированный HTTP-запрос к уязвимому эндпоинту, что приведет к выполнению произвольного кода (RCE) в контексте безопасности сервера приложений. Это позволяет полностью скомпрометировать Oracle Access Manager, получить доступ к конфиденциальным данным и управлять сессиями аутентификации.

Как исправить

Основным и рекомендуемым способом устранения является установка официального патча от Oracle (Critical Patch Update — CPU).

  1. Проверьте текущую версию Oracle Access Manager. Уязвимости подвержены версии 11.1.2.3.0, 12.2.1.3.0 и 12.2.1.4.0.

  2. Скачайте соответствующий патч с портала My Oracle Support (MOS). Для данной уязвимости исправления включены в пакеты обновлений от января 2022 года и более поздние.

  3. Остановите серверы OAM (Admin Server и Managed Servers):

$DOMAIN_HOME/bit/stopWebLogic.sh

  1. Обновите утилиту OPatch до последней версии перед установкой патча.

  2. Примените патч с помощью утилиты OPatch:

opatch apply
  1. Запустите серверы:
$DOMAIN_HOME/bin/startWebLogic.sh

Временные меры

Если немедленная установка патча невозможна, необходимо ограничить эксплуатацию уязвимости на уровне сетевого периметра или конфигурации сервера.

  1. Настройте правила на Web Application Firewall (WAF) или Reverse Proxy для блокировки входящих запросов к уязвимому пути:
/oam/server/auth_cred
  1. Если внешняя аутентификация через этот эндпоинт не используется, ограничьте доступ к нему на уровне HTTP-сервера (например, Oracle HTTP Server), разрешив доступ только с доверенных внутренних IP-адресов:
<Location /oam/server/auth_cred>
    Order Deny,Allow
    Deny from all
    Allow from 127.0.0.1
</Location>
  1. Проведите аудит логов на предмет подозрительных POST-запросов к /oam/server/auth_cred с аномально большой полезной нагрузкой, что может свидетельствовать о попытках десериализации.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей