Bug in Oracle Access Manager zet de deur wagenwijd open

Een kwetsbaarheid in Oracle Access Manager (OAM) kan worden misbruikt om het account van eender welke gebruiker of administrator over te nemen. Daarmee breekt de bug de volledige functionaliteit van OAM.

Oracle Access Manager is deel van Oracle Fusion Middleware. Via OAM kan een werknemer inloggen op verschillende applicaties die binnen een organisatie worden gebruikt via een single sign-on pagina met multifactorauthenticatie.

Een recent ontdekte bug (CVE-2018-2879) laat evenwel toe om het authenticatiescherm van OAM te omzeilen en zo het account van een gebruiker of administrator over te nemen. De kwetsbaarheid zit in de manier waarop OAM met versleutelde berichten omgaat. De software kan misleid worden om de authorisatiecookie van een account vrij te geven. De hacker kan vervolgens met een script geldige sleutels genereren om als eender wie in te loggen op het systeem.

Lek gedicht

“Deze kwetsbaarheid breekt de hoofdfunctionaliteit van OAM”, vertelt Wolfgang Ettlinger aan The Register. Ettlinger werkt bij het SEC Consult Vulnerability Lab dat de kwetsbaarheid ontdekte. SEC Consult bracht Oracle op de hoogte van het lek, waarop het meteen werd gedicht in de updateronde van april. Wie nog op versies 11.1.2.3.0 of 12.2.1.3.0 en ouder zit, wordt geadviseerd om onmiddellijk te updaten.

Oracle heeft snel gereageerd. Toch is het volgens Ettlinger geen goed teken dat de bug in de eerste plaats aanwezig was. “Aangezien de kwetsbaarheid werd gevonden in een centrale component van OAM, vermoeden we dat er onvoldoende aandacht werd gegeven aan de informatiebeveiliging. We raden Oracles klanten aan om een volledige audit van de component uit te voeren of de resultaten van zo’n audit bij Oracle op te vragen”, besluit Ettlinger.