0
0
Mais da metade das falhas da Oracle em sua atualização trimestral de patches pode ser remotamente explorável sem autenticação; dois têm pontuações cvss de 10 de 10.
A gigante de software de negócios Oracle está pedindo aos clientes que atualizem seus sistemas no lançamento em outubro de sua CPU (Critical Patch Update, atualização crítica crítica) trimestral, que corrige 402 vulnerabilidades em várias famílias de produtos.
Bem mais da metade (272) dessas vulnerabilidades abrem produtos até a exploração remota sem autenticação. Isso significa que a falha pode ser explorada em uma rede sem exigir credenciais do usuário.
A maioria das falhas está nos Aplicativos oracle de serviços financeiros (53), Oracle MySQL (53), Oracle Communications (52), Oracle Fusion Middleware (46), Oracle Retail Applications (28) e Oracle E-Business Suite (27). Mas, no geral, 27 famílias de produtos Oracle são afetadas pelas falhas. Os usuários podem encontrar um documento de disponibilidade de patches para cada produto, disponível aqui.
“A Oracle continua a receber periodicamente relatórios de tentativas de explorar maliciosamente vulnerabilidades para as quais a Oracle já liberou patches de segurança”, de acordo com o comunicado da empresa na terça-feira. “Em alguns casos, foi relatado que os invasores foram bem sucedidos porque os clientes-alvo não tinham conseguido aplicar patches Oracle disponíveis. Portanto, a Oracle recomenda fortemente que os clientes permaneçam em versões com suporte ativo e apliquem patches de segurança do Critical Patch Update sem demora.”
Embora os detalhes das falhas em si sejam escassos, duas das vulnerabilidades críticas divulgadas pela Oracle classificam a maior pontuação de gravidade – 10 de 10 – na escala CVSS.
Isso inclui uma falha no componente de análise de autoatendimento da Oracle Healthcare Foundation, que é uma plataforma unificada de análise de saúde que faz parte do conjunto Oracle Health Science Applications. A falha (CVE-2020-1953), que pode ser explorada remotamente sem exigir nenhuma credencial do usuário, não requer interação do usuário e é fácil de explorar, de acordo com a Oracle. As versões suportadas afetadas incluem 7.1.1, 7.2.0, 7.2.1 e 7.3.0.
A segunda falha grave (CVE-2020-14871) existe no módulo de autenticação plugável da Oracle Solaris, seu sistema operacional corporativo para bancos de dados Oracle e aplicativos Java (parte da matriz de risco Oracle Systems). A falha também é remotamente explorável sem credenciais do usuário, não requer interação do usuário e é um ataque de “baixa complexidade”. As versões 10 e 11 são afetadas.
Sessenta e cinco das vulnerabilidades também apresentaram pontuação base cvss de 9,8 (e seis tiveram pontuação de 9,4) de 10, tornando-as críticas em gravidade.
A Oracle ofereceu algumas soluções alternativas, aconselhando que para ataques que requerem certos privilégios ou acesso a determinados pacotes, remover os privilégios ou a capacidade de acessar os pacotes de usuários que não precisam dos privilégios pode ajudar a reduzir o risco de ataque bem-sucedido. Os usuários também podem reduzir o risco de ataque bem-sucedido bloqueando protocolos de rede exigidos por um ataque.
No entanto, ambas essas abordagens podem quebrar a funcionalidade do aplicativo, e a Oracle não recomenda que qualquer abordagem seja considerada uma solução de longo prazo, pois nenhuma delas corrige o problema subjacente.
“Devido à ameaça representada por um ataque bem-sucedido, a Oracle recomenda fortemente que os clientes apliquem patches de segurança do Critical Patch Update o mais rápido possível”, de acordo com a empresa.
A Oracle lança suas CPUs na terça-feira mais próxima do 17º dia de janeiro, abril, julho e outubro.
Atualizações trimestrais anteriores eliminaram centenas de bugs em todas as linhas de produtos da empresa, incluindo um em abril que corrigiu 405. Há também atualizações fora da banda; em junho, por exemplo, a Oracle alertou para uma falha crítica de execução de código remoto em seu Servidor WebLogic sendo ativamente explorado na natureza.
FONTE: THREATPOST