Oracle Identity Management permet aux clients de se mettre efficacement en conformité avec les exigences réglementaires ainsi que de sécuriser leurs applications essentielles et leurs données sensibles tout en réduisant leurs coûts de fonctionnement. Grâce à cette suite de solutions de gestion d'identité de haut niveau, les entreprises peuvent gérer l'intégralité du cycle de vie des identités utilisateur de toutes les ressources de l'entreprise de part et d'autre du pare-feu.Cependant, une vulnérabilité a été trouvée sur cette suite et permet à un attaquant de prendre le contrôle total de l’application à distance. Oracle a publié des correctifs pour ce problème de sécurité qui a reçu un score rare de 10 sur 10 sur l'échelle de gravité du bogue CVSSv3.
« En raison de la gravité de cette vulnérabilité, Oracle recommande vivement aux clients d'appliquer sans délai les mises à jour fournies par cette alerte de sécurité », a déclaré la société.
La société a déclaré que l'exploit affecte de nombreuses versions d'Identity Manager, notamment 11.1.1.7, 11.1.1.9, 11.1.2.1.0, 11.1.2.2.0, 11.1.2.3.0 et 12.2.1.3.0.
Bien qu'Oracle tente de protéger les détails complets de la vulnérabilité des cybercriminels, Oracle décrit le problème, référencé par CVE-2017-10151, comme une vulnérabilité de « compte par défaut », un terme générique généralement utilisé pour décrire les comptes sans mot de passe ou informations d'identification codées en dur.
Ce type de compte peut donc être utilisé via HTTP pour compromettre l'application : « Cette vulnérabilité est exploitable à distance sans authentification, c'est-à-dire qu'elle peut être exploitée sur un réseau sans nécessiter d'informations d'identification de l'utilisateur », a déclaré Oracle.
Alors que d'autres entreprises incluent également des comptes par défaut dans leurs produits, généralement à des fins de débogage, la plupart ne sont accessibles que localement et disposent au moins d’un mot de passe.
« Les versions de produit qui ne sont pas prises en charge par Premier Support ou Extended Support ne sont pas testées pour la présence de vulnérabilités traitées par cette alerte de sécurité. Cependant, il est probable que les versions antérieures des versions concernées soient également affectées par ces vulnérabilités », a expliqué Oracle, conseillant à ses clients de se mettre à niveau vers des versions prises en charge.
Aucun autre détail spécifique sur la faille n'a été partagé, pas plus que l'identité de la ou des personnes qui ont découvert la faille, ou si elle est activement exploitée dans la nature.
La mise à jour d'Oracle Critical Patch d'octobre 2017 a fourni 40 nouveaux correctifs de sécurité pour Oracle Fusion Middleware. Le prochain processeur Oracle est prévu pour le 16 janvier 2018.
Source : Oracle