CISA ព្រមានអំពីចំណុចខ្សោយ RCE របស់ Identity Manager របស់ក្រុមហ៊ុន Oracle ដែលត្រូវបានវាយប្រហារយ៉ាងសកម្ម

ទីភ្នាក់ងារសន្តិសុខតាមអ៊ីនធឺណិត និងហេដ្ឋារចនាសម្ព័ន្ធ (CISA) កំពុងជំរុញឱ្យអង្គការនានាដោះស្រាយជាបន្ទាន់នូវចំណុចខ្សោយសុវត្ថិភាពដ៏សំខាន់មួយនៅក្នុង Oracle Identity Manager បន្ទាប់ពីមានរបាយការណ៍អំពីការកេងប្រវ័ញ្ចសកម្ម។

ចំណុចខ្សោយនេះ ដែលត្រូវបានតាមដានថាជា CVE-2025-61757 អនុញ្ញាតឱ្យអ្នកវាយប្រហារពីចម្ងាយដែលមិនបានផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវប្រតិបត្តិកូដតាមអំពើចិត្តលើប្រព័ន្ធដែលរងផលប៉ះពាល់ ដែលបង្កការគំរាមកំហែងយ៉ាងធ្ងន់ធ្ងរដល់បណ្តាញសហគ្រាស និងរដ្ឋាភិបាល។

ការព្រមាននេះកើតឡើងបន្ទាប់ពីការរំលោភដ៏ធំមួយកាលពីដើមឆ្នាំនេះដែលពាក់ព័ន្ធនឹងសេវាកម្មចូលរបស់ Oracle Cloud ដែលបានលាតត្រដាងកំណត់ត្រាជាងប្រាំមួយលាន។

អ្នកស្រាវជ្រាវសន្តិសុខនៅ Searchlight Cyber ​​បានកំណត់អត្តសញ្ញាណចំណុចខ្សោយនេះ ខណៈពេលកំពុងវិភាគផ្ទៃវាយប្រហារនៃម៉ាស៊ីនចូលរបស់ Oracle Cloud។ ការស៊ើបអង្កេតបានបង្ហាញថា កញ្ចប់កម្មវិធីដូចគ្នាដែលត្រូវបានសម្របសម្រួលនៅក្នុងខែមករា ជាពិសេស Oracle Identity Governance Suite មានចំណុចខ្សោយធ្ងន់ធ្ងរនៃការប្រតិបត្តិកូដពីចម្ងាយ (RCE)

ការរកឃើញនេះបានបង្ហាញពីការត្រួតពិនិត្យដ៏សំខាន់មួយនៅក្នុងរបៀបដែលកម្មវិធីដោះស្រាយតម្រងផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ ដែលធ្វើឱ្យអ្នកជួលរាប់រយនាក់ងាយរងគ្រោះដល់ការសម្របសម្រួលទាំងស្រុងដោយមិនតម្រូវឱ្យមានលិខិតសម្គាល់ដែលមានសុពលភាព។

ចំណុចខ្សោយនេះស្ថិតនៅក្នុងយន្តការ SecurityFilter របស់កម្មវិធីដែលមាននៅក្នុងការកំណត់រចនាសម្ព័ន្ធ web.xml។ តម្រងនេះត្រូវបានរចនាឡើងដើម្បីគ្រប់គ្រងការត្រួតពិនិត្យការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ ប៉ុន្តែពឹងផ្អែកលើបញ្ជីសនៃការបញ្ចេញមតិធម្មតាដែលមានចំណុចខ្វះខាត។

អ្នកអភិវឌ្ឍន៍មានបំណងអនុញ្ញាតឱ្យមានការចូលប្រើដោយគ្មានការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវចំពោះឯកសារភាសាពិពណ៌នាកម្មវិធីគេហទំព័រ (WADL) ប៉ុន្តែការអនុវត្តបានបរាជ័យក្នុងការរាប់បញ្ចូលពីរបៀបដែល Java បកស្រាយសំណើរ Uniform Resource Identifiers (URIs)។

អ្នកវាយប្រហារអាចរំលងការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវទាំងស្រុងដោយបន្ថែមប៉ារ៉ាម៉ែត្រម៉ាទ្រីសជាក់លាក់ទៅ URL។ ក្រុមស្រាវជ្រាវបានបង្ហាញថាការបន្ថែម ;.wadl ទៅក្នុងសំណើរ URI បញ្ឆោតម៉ាស៊ីនមេឱ្យចាត់ទុកសំណើរថាជាការទាញយក WADL ដែលគ្មានគ្រោះថ្នាក់ ខណៈពេលដែល Java servlet ដំណើរការវាជាការហៅ API ដែលមានសុពលភាព។

ភាពខុសគ្នាឡូជីខលនេះផ្តល់ឱ្យអ្នកវាយប្រហារនូវការចូលប្រើដោយគ្មានការរឹតត្បិតចំពោះចំណុចបញ្ចប់ REST ដែលមានកម្រិត ដូចជា /iam/governance/applicationmanagement។

នៅពេលដែលការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវត្រូវបានរំលង អ្នកគំរាមកំហែងអាចទាញយកអត្ថប្រយោជន៍ពីចំណុចបញ្ចប់ groovyscriptstatus ដើម្បីសម្រេចបាននូវការប្រតិបត្តិកូដ។ ទោះបីជាចំណុចបញ្ចប់នេះត្រូវបានបម្រុងទុកសម្រាប់តែស្គ្រីប Groovy ពិនិត្យវាក្យសម្ព័ន្ធដោយមិនចាំបាច់ដំណើរការវាក៏ដោយ វាអនុវត្តការចងក្រង។

តាមរយៈការចាក់បញ្ចូលស្គ្រីបដែលមានចំណារពន្យល់ @ASTTest អ្នកវាយប្រហារអាចបង្ខំកម្មវិធីចងក្រង Java ឱ្យប្រតិបត្តិកូដតាមអំពើចិត្តក្នុងដំណាក់កាលចងក្រង។ បច្ចេកទេសនេះប្រែក្លាយឧបករណ៍ត្រួតពិនិត្យវាក្យសម្ព័ន្ធទៅជាសែលពីចម្ងាយដែលមានមុខងារពេញលេញ ដោយផ្តល់ការគ្រប់គ្រងលើប្រព័ន្ធម៉ាស៊ីន។

ភាពងាយរងគ្រោះនេះមានគ្រោះថ្នាក់ជាពិសេសព្រោះវាមិនតម្រូវឱ្យមានការចូលប្រើ ឬព័ត៌មានបញ្ជាក់ជាមុនទេ។ ការរួមបញ្ចូលគ្នានៃការរំលងការផ្ទៀងផ្ទាត់សាមញ្ញ និងវិធីសាស្ត្រដែលអាចទុកចិត្តបានសម្រាប់ការប្រតិបត្តិកូដធ្វើឱ្យវាក្លាយជាគោលដៅដ៏ទាក់ទាញសម្រាប់ក្រុម ransomware និងអ្នកដើរតួដែលឧបត្ថម្ភដោយរដ្ឋ។

អង្គការដែលដំណើរការ Oracle Identity Governance Suite 12c ត្រូវបានណែនាំឱ្យអនុវត្តបំណះពាក់ព័ន្ធភ្លាមៗ ឬញែកសេវាកម្មដែលរងផលប៉ះពាល់ចេញពីអ៊ីនធឺណិតសាធារណៈ។