Lỗ hổng cực kì nghiêm trọng trong Oracle Identity Manager

Một lỗ hổng cực kì nguy hiểm được phát hiện trong hệ thống quản lý danh tính dành cho doanh nghiệp của Oracle Identity Manager. Lỗ hổng có thể bị tin tặc dễ dàng khai thác từ xa, chiếm quyền kiểm soát toàn bộ hệ thống.

Lỗ hổng có định danh CVE -20170-10151 được đánh giá 10 điểm – mức điểm cao nhất trong thang điểm đánh giá độ nghiêm trọng lỗ hổng CVSS và dễ dàng khai thác mà không cần tương tác từ người dùng. Oracle đăng tải thông tin về lỗ hổng vào thứ hai, nhưng không tiết lộ nhiều chi tiết.

Chi tiết về lỗ hổng Oracle Identity Manager

Lỗ hổng nằm trong thành phần Oracle Identity Manager (OIM) thuộc Oracle Fusion Middleware – hệ thống quản lý danh tính doanh nghiệp có thể tự động quản lý quyền hạn truy cập của người dùng. Trong đó một “tài khoản mặc định” có thể bị truy cập thông qua giao thức HTTP xâm nhập vào OIM. Oracle không đưa ra chi tiết về lỗ hổng nhằm ngăn chặn nó bị khai thác trong thực tế, nhưng ” tài khoản mặc định” có thể là một tài khoản bí mật được mã cứng hoặc không có mật khẩu. Lỗ hổng tồn tại trong Oracle Identity Manager phiên bản 11.1.1.7, 11.1.1.9, 11.1.2.1.0, 11.1.2.2.0, 11.1.2.3.0 và 12.2.1.3.0.

Oracel phát hành bản cập nhật dành cho tất cả các sản phẩm của mình. Người dùng được khuyến cáo cài đặt bản vá sớm nhất có thể trước khi tin tặc khai thác lỗ hổng tấn công vào doanh nghiệp. Các phiên bản quá cũ không còn được hỗ trợ cũng có nguy cơ cao chứa lỗ hổng do đó quản trị viên nên nâng cấp lên phiên bản mới hơn.

THN