您正在使用IE低版浏览器,为了您的FUTUREAI账号安全和更好的产品体验,强烈建议使用更快更安全的浏览器
FUTUREAI 发展趋势
发私信给FUTUREAI
发送

甲骨文 Access Manager 现漏洞,黑客连管理员账号都能霸占

本文作者:FUTUREAI 2018-05-04 16:55
导语:景智AI网 () 消息,据外媒美国时间5月3日报道,来自 SEC 漏洞咨询实验室安全研究人员 Wolfgang Ettlinger在甲骨文 Access Manager(以下简称 OAM)上发现了一个安全漏洞,黑客可以

甲骨文 Access Manager 现漏洞,黑客连管理员账号都能霸占

景智AI网消息,据外媒美国时间5月3日报道,来自 SEC 漏洞咨询实验室安全研究人员 Wolfgang Ettlinger 在甲骨文 Access Manager(以下简称 OAM)上发现了一个安全漏洞,黑客可以利用它远程绕过身份验证程序,接管任何用户的账号。如果黑客愿意,他们连管理员的账号都能霸占。

OAM 不但支持多重身份验证(MFA),还能实现 Web 单点登录(SSO)。此外,会话管理、标准 SAML 联盟和 OAuth 等安全防护一应俱全,方便用户安全的访问移动应用和外部云存储。不过,这样严密的防护依然存在漏洞。

这次发现的漏洞代号为 CVE-2018-2879,与 OAM 使用的一种有缺陷的密码格式有关。

“OAM 是甲骨文 Fusion Middleware 的组成部分之一,后者负责掌控各种类型网络应用的认证。”SEC 的 Ettlinger 解释道。

“我们会通过演示证明加密实现的小特性是如何对产品安全造成实际影响的。只要利用了这一漏洞,我们就能制作任意的身份验证令牌来扮演任何用户,同时还能有效的破坏 OAM 的主要功能。”Ettlinger 说道。

Ettlinger 解释称,攻击者可以利用该漏洞找到 OAM 处理加密信息的弱点,诱使该软件意外透露相关信息,随后利用这些信息冒充其他用户。

攻击者能组织一场填充攻击,使甲骨文披露账户的授权 Cookie。随后它就能制作出能生成有效登陆密匙的脚本,想冒充谁就冒充谁。

“在研究中我们发现,OAM 用到的密码格式有个严重的漏洞,只要稍加利用,我们就能制作出会话令牌。拿这个令牌去骗 WebGate 一骗一个准,想接入受保护的资源简直易如反掌。”Ettlinger 解释道。“更可怕的是,会话 Cookie 的生成过程让我们能冒充任意用户名搞破坏。”

景智AI网了解到,OAM 11g 和 12c 版本都受到了该漏洞的影响。

Ettlinger 去年 11 月就将该漏洞报告给了甲骨文,不过 IT 巨头在今年 4 月的补丁更新中才解决了在这一问题。如果你也在用 OAM,还是抓紧时间打补丁来封堵漏洞吧。

景智AI网Via. Security Affairs

声明:景智AI网尊重行业规范,任何转载稿件皆标注作者和来源;景智AI网的原创文章,请转载时务必注明文章作者和"来源:景智AI网", 不尊重原创的行为将受到景智AI网的追责;转载稿件或作者投稿可能会经编辑修改或者补充,有异议可投诉至:mailto:813501038@qq.com

分享:
相关文章
最新文章