O investigador Wolfgang Ettlinger, do SEC Consult Vulnerability Lab, descobriu uma vulnerabilidade de segurança no Oracle Access Manager que pode ser explorada por um ciber atacante remoto para contornar a autenticação e assumir a conta de qualquer utilizador ou administrador dos sistemas afetados.
O Oracle Access Management oferece Web SSO com MFA, autorização de granularidade e gestão de sessões, além de recursos padrão de federação de SAML e OAuth para permitir acesso seguro a aplicações móveis.
A falha, identificada como CVE-2018-2879, apresenta uma falha num formato de criptografia usado pelo Oracle Access Manager.
“The Oracle Access Manager is the component of the Oracle Fusion Middleware that handles authentication for all sorts of web applications,” SEC Consult researcher Wolfgang Ettlinger explained.
“we will demonstrate how minor peculiarities of the cryptographic implementation had a real-life impact on the security of the product. By exploiting this vulnerability we were able to fabricate arbitrary authentication tokens, allowing us to impersonate any user and effectively break the main functionality of OAM.”
Ettlinger explicou que um atacante poderá explorar a vulnerabilidade de forma a que o OAM manipule mensagens cifradas de forma errada e fazendo com que o software divulgue acidentalmente informações que podem ser usadas para fazer na conta dos utilizadores (user impersonating).
O atacante pode despoletar um ataque padding para divulgar o cookie de autorização de uma conta. Pode também criar um script que gera as chaves de autenticação para qualquer utilizador desejado, incluindo dos administradores do sistema.
“During a research project, we found that a cryptographic format used by the OAM exhibits a serious flaw. By exploiting this vulnerability, we were able to craft a session token. When a WebGate is presented with this token, it would accept it as a legitimate form of authentication and allow us to access protected resources.” explained the expert.
“What’s more, the session cookie crafting process lets us create a session cookie for an arbitrary username, thus allowing us to impersonate any user known to the OAM.”
O seguinte vídeo apresenta uma prova de conceito (PoC), e o impacto de um atacante usar esta falha de forma a personificar os utilizadores do sistema.
As versões do Oracle Access Management 11g e 12c foram afetadas pela vulnerabilidade. Os investigadores usaram um simples Google Dork para encontrar cerca de 11.800 instalações do OAM, algumas delas pertencentes a organizações de alto perfil (incluindo a Oracle).
Temos que considerar que existem muitas outras instalações que não podem ser acedidas pela Internet uma vez que se encontram em clouds e redes privadas.
De notar que esta folha foi endereçada à Oracle em novembro de 2017. Só agora, abril de 2018, com a aplicação deste novo patch — Atualização de Patch Crítico (CPU), a Oracle corrigiu a falha.