Oracle a déployé une mise à jour d'urgence pour des vulnérabilités affectant plusieurs de ses produits qui reposent sur son protocole propriétaire Jolt, une partie du composant Tuxedo (transactions pour UNIX) qui constitue le noyau de beaucoup de produits middleware d’Oracle. Deux de ces vulnérabilités ont été évaluées à 10 sur 10 et 9,9 sur 10 sur l’échelle de gravité des bogues CVSSv3. Elles ont été découvertes par des chercheurs d'ERPScan qui ont nommé la série de cinq vulnérabilités JoltandBleed parce que certaines d’entre elles ont les mêmes conséquences que la vulnérabilité Heartbleed. Les produits concernés comprennent Oracle PeopleSoft Campus Solutions, Human Capital Management, Financial Management, Supply Chain Management, ainsi que d'autres produits utilisant le serveur d'applications Tuxedo 2.
Un attaquant exploitant JOLTandBLEED peut exposer des données en cours de traitement dans la mémoire des applications basées sur Tuxedo, ce qui entraîne des fuites d'informations sensibles au fil du temps.
Selon Oracle, les vulnérabilités « peuvent être exploitées sur un réseau sans avoir besoin d'un nom d'utilisateur et d'un mot de passe valides. Le client Jolt n’est pas impacté. Puisque les produits Oracle PeopleSoft incluent et utilisent Oracle Tuxedo dans leurs distributions, les clients PeopleSoft doivent appliquer les correctifs Tuxedo. »
Oracle a rendu les correctifs disponibles pour Oracle Fusion Middleware, pour colmater toutes ces failles.
ERPScan a déclaré que les vulnérabilités ouvraient les produits concernés aux attaquants qui peuvent alors accéder à toutes les données. Plus précisément :
- CVE-2017-10272 est une vulnérabilité de divulgation de la mémoire ; son exploitation permet à un attaquant de lire à distance la mémoire du serveur (9.9 sur l'échelle CVSS) ;
- CVE-2017-10267 est une vulnérabilité de débordements de pile (7.5 sur l'échelle CVSS) ;
- CVE-2017-10278 est une vulnérabilité de débordements de tas (7.0 sur l'échelle CVSS) ;
- CVE-2017-10266 est une vulnérabilité qui permet à un acteur malveillant d’utiliser la force brute pour faire valider un mot de passe de DomainPWD qui est utilisé pour l'authentification Jolt Protocol (5.3 sur l'échelle CVSS) ;
- CVE-2017-10269 est une vulnérabilité affectant le protocole Jolt ; il permet à un attaquant de compromettre l'ensemble du système PeopleSoft. (10 sur l'échelle CVSS).
« Cette erreur provient de la façon dont Jolt Handler traite une commande avec l'opcode 0x32. Si la structure du paquet est incorrecte, un développeur doit fournir à un client Jolt une certaine réponse Jolt indiquant qu'il y a une erreur dans le processus de communication », ont expliqué les chercheurs d'ERPScan.
Les chercheurs ont dit que la vulnérabilité sous-jacente était causée par un développeur qui a fait une erreur en codant un appel de fonction qui était responsable de l'emballage des données à transmettre. « La confusion était entre deux fonctions, jtohi et htoji. Par conséquent, l'empaquetage d'une longueur de paquet constant qui doit être 0x40 octets est en fait 0x40000000. »
« Puis un client initie la transmission de 0x40000000 octets de données. En manipulant la communication avec le client, un attaquant peut réaliser un travail stable côté serveur et une fuite de données sensibles. En initiant une masse de connexions, le hacker collecte passivement la mémoire interne du serveur Jolt », a expliqué ERPScan.
Cela conduit à la fuite des informations d'identification lorsqu'un utilisateur les saisit via l'interface Web du système PeopleSoft.
Selon Oracle, la vulnérabilité de divulgation de la mémoire (CVE-2017-10272) est facile à exploiter et permet à un attaquant à faible privilège avec un accès réseau via Jolt de compromettre Oracle Tuxedo.
« Bien que la vulnérabilité soit dans Oracle Tuxedo, les attaques peuvent affecter de manière significative les produits supplémentaires. Les attaques réussies de cette vulnérabilité peuvent entraîner la création, la suppression ou la modification non autorisée de données critiques ou de toutes les données accessibles d'Oracle Tuxedo ainsi qu'un accès non autorisé aux données critiques ou un accès complet à toutes les données Oracle Tuxedo accessibles et une capacité non autorisée à service d'Oracle Tuxedo », écrit Oracle concernant CVE-2017-10272.
Ce n'est pas le premier bogue avec un score de 10 sur 10 sur l'échelle de gravité CVSS qu'Oracle a corrigé ce mois-ci. Dans un précédent patch d'urgence, l’entreprise a corrigé CVE-2017-10151, un compte administrateur sans mot de passe qui était présent sur Oracle Identity Manager (OIM), une solution de gestion des utilisateurs qui permet aux entreprises de contrôler les parties de leurs réseaux auxquelles les employés peuvent accéder.
Source : Oracle, ERPScan
Voir aussi :
Oracle déploie un correctif d'urgence pour une faille notée 10 sur 10 sur l'échelle CVSSv3 qui affecte sa suite Identity Management