Уязвимость в Oracle Access Manager позволяет обойти аутентификацию

В Oracle Access Manager (OAM) обнаружена уязвимость (CVE-2018-2879), позволяющая осуществить атаку padding oracle. С ее помощью злоумышленник может обойти механизм аутентификации и выдать себя за владельца любой учетной записи пользователя. Уязвимость связана с используемым OAM криптографическим форматом и затрагивает версии OAM 11g и 12c.

OAM является компонентом платформы Oracle Fusion Middleware, обеспечивающим аутентификацию в web-приложениях различных видов. Как правило, web-сервер, предоставляющий доступ к приложению, оснащен компонентом для аутентификации пользователей (Oracle WebGate). Пользователь, запрашивающий защищенный ресурс с web-сервера, перенаправляется для аутентификации на OAM. Затем OAM проводит аутентификацию пользователя (по паролю и имени) и перенаправляет его обратно к web-приложению. Поскольку аутентификация осуществляется централизованно, для того чтобы получить доступ к любому приложению, защищенному OAM, пользователю достаточно пройти аутентификацию только один раз.

Как сообщают исследователи компании SEC Consult, в OAM есть уязвимость, позволяющая шифровать и расшифровывать данные, передаваемые между OAM и web-серверами. С ее помощью исследователям удалось создать действительный токен сеанса, зашифровать его, отправить на web-сервер и получить доступ к защищенным ресурсам в качестве пользователя, уже прошедшего аутентификацию с помощью OAM.

Администраторам OAM настоятельно рекомендуется установить обновление, исправляющее данную уязвимость. Атака с использованием уязвимости продемонстрирована в видео ниже.