Агентство по кибербезопасности и безопасности инфраструктуры (CISA) в понедельник обновило Каталог известных эксплуатируемых уязвимостей, добавив в него критическую уязвимость, затрагивающую Oracle Fusion Middleware (OFA) версий 11.1.2.3.0, 12.2.1.3.0 и 12.2.1.4.0. Брешь в защите получила идентификатор CVE-2021-35587 и оценку 9.8 из 10 по шкале CVSS.
Успешная эксплуатация этой уязвимости позволяет неавторизованному злоумышленнику с доступом к сети полностью скомпрометировать и взять под контроль экземпляры Access Manager.
Стоит отметить то, что про CVE-2021-35587 было известно еще с марта этого года – об уязвимости сообщили исследователи Нгуен Джанг (он же Janggggg) и peterjson. Кроме того, патчить эту уязвимость в OFA 11.1.2.3.0 никто не будет, так как она более не поддерживается. Исправление CVE-2021-35587 доступно только в поддерживаемых версиях (12.2.1.3.0 и 12.2.1.4.0) и было выпущено в январе этого года.
Дополнительные подробности о характере атак и масштабах эксплуатации уязвимости пока неизвестны. Данные, собранные компанией GreyNoise, показывают, что злоумышленники из США, Китая, Германии, Сингапура и Канады все еще пытаются использовать эту брешь в защите.