نقصی بسیار خطرناک در اوراکل باعث سرقت اطلاعات تشخیص هویت کاربران می شود

نقص بسیار نگران کننده ای در سیستم مدیریت تشخیص هویت شرکت اوراکل کشف شده است که می تواند توسط مهاجمان از راه دور مورد سوء استفاده قرار گیرد تا کنترل کامل سیستم های آسیب دیده را به دست بگیرند.

اوراکل اعلام کرد که این آسیب پذیری بالاترین نمره آسیب پذیری پایگاه داده (نمره 10) را دارد و میتواند بدون اجازه ی کاربر و بدون اینکه رد پایی از خود بجا بگذارد ، از آن بهره برداری کند.

این آسیب پذیری بخش Oracle Fusion Middleware را هدف قرار داده است این بخش یک سیستم مدیریت تشخیص هویت سازمانی است که به طور خودکار دسترسی کاربران به اطلاعات شرکت را مدیریت می کند.

این نقص امنیتی به یک «حساب پیش فرض» مربوط می شود و مهاجم در همان شبکه می تواند از طریق ارتباط HTTP به سیستم تشخیص هویت اوراکل دسترسی پیدا کند و آن را به خطر بیندازد.

اوراکل جزئیات کامل آسیب پذیری را برای جلوگیری از سوء استفاده منتشر نکرده است، اما «حساب های پیش فرض» را با تکنیک های رمزگذاری پیچیده به یک حساب مخفی تبدیل کرده است تا مانع سوء استفاده شود.

مشاور اوراکل می گوید : “این آسیب پذیری به گونه ای است که مهاجم می تواند بدون استفاده از احراز هویت از راه دور به همه چیزی دسترسی داشته باشد، به عنوان مثال، ممکن است در یک شبکه بدون نیاز به اعتبارسنجی، از دسترسی های کاربر سوء استفاده کند”.

این نقص به آسانی قابل بهره برداری است و سیستم های مختلف تشخیص هویت شرکت اوراکل را تحت تاثیر قرار می دهد. اوراکل فایل patch جدیدی برای همه نسخه های محصولات آسیب پذیر خود منتشر کرده است، بنابراین به کاربران توصیه می شود که این تکه های امنیتی را نصب کنند تا هکرها نتوانند از طریق این نقص به داده های آنها دسترسی پیدا کنند. با توجه به شدت این آسیب پذیری، اوراکل شدیدا توصیه می کند که مشتریان به روز رسانی های ارائه شده توسط این شرکت را که خیلی سریع نصب کنند.

اوراکل هشدار داد احتمال دارد که نسخه های قبلی نیز تحت تاثیر این آسیب پذیری ها قرار گیرند. در نتیجه، توصیه می شود که مشتریان محصولات خود را به نسخه های پشتیبانی شده ارتقاء دهند.

 

منبع :

https://thehackernews.com/2017/10/oracle-identity-manager.html

پاسخی بگذارید