美国CISA最新收录高危漏洞，系与甲骨文有关

近日，美国网络安全和基础设施安全局 （CISA） 将一个影响美国甲骨文（Oracle）公司融合中间件的严重漏洞跟踪为CVE-2021-35587（CVSS 3.1 基本分数 9.8）。该漏洞是由于yizhi Access Manager（Oracle融合中间件）未对HTTP请求进行有效的验证，攻击者可利用该漏洞在未授权的情况下，构造恶意数据进行远程代码执行漏洞攻击，最终获取服务器最高权限。

美国甲骨文（Oracle）公司

Oracle Access Manager是Oracle公司出品的一款单点登陆认证管理系统。提供了基于Web的身份4管理，以及对运行于异类环境中的Web应用程序和资源的访问控制。它提供用户和组管理、委托管理、口令管理和自助服务功能，以便在复杂的、以目录为中心的环境中管理大量用户。据统计，全球总计30000以上的资产使用了Oracle Fusion Middleware。国内使用地区主要在广西、北京、辽宁等省份。

目前受影响的版本为Oracle Access Manage 11.1.2.3.0、Oracle Access Manage 12.2.1.3.0 和Oracle Access Manage 12.2.1.4.0在漏洞被发现后不久，Oracle公司就发布了针对该漏洞的补丁，及时修复系统。 

Nguyen Jang 发布的视频 PoC

据悉，该漏洞是由安全研究员 Nguyen Jang ( Janggggg ) 与peterjson一起报告的： “这个漏洞是我和Peterjson在我们为另一个mega-0day 分析和构建 PoC 时偶然发现的（目前仍未修复）。访问入口点并利用漏洞非常容易，因此建议立即应用补丁！它可能会让攻击者访问 OAM 服务器，创建具有任何权限的任何用户，或者只是在受害者的服务器上执行代码。”

目前，CISA 已将该漏洞列入已知利用漏洞目录。据统计，该目录目前列出了近四百个漏洞，其中一些老漏洞是2010年就被发现，但现在仍在外部被利用。这其中还包括思科、Google、微软、苹果、甲骨文、Adobe、Atlassian、IBM和其他许多大小公司的产品的漏洞。

CISA在一个具有约束力的操作指令中说："这个漏洞和之前记录的漏洞一项，给各机构带来了重大风险。必须积极补救已知的被利用的漏洞，以保护联邦信息系统和减少网络事件，"为此，CISA已命令联邦机构在 2022 年 12 月 19 日之前修复这些漏洞。