| Название базовой системы (платформы): | Oracle Fusion Middleware |
| Разработчики: | Oracle |
| Технологии: | ИБ - Аутентификация |
2018
В Oracle Access Manager (OAM) обнаружена уязвимость (CVE-2018-2879), позволяющая осуществить атаку padding oracle. С ее помощью злоумышленник может обойти механизм аутентификации и выдать себя за владельца любой учетной записи пользователя. Уязвимость связана с используемым OAM криптографическим форматом и затрагивает версии OAM 11g и 12c.
OAM является компонентом платформы Oracle Fusion Middleware, обеспечивающим аутентификацию в web-приложениях различных видов. Как правило, web-сервер, предоставляющий доступ к приложению, оснащен компонентом для аутентификации пользователей (Oracle WebGate). Пользователь, запрашивающий защищенный ресурс с web-сервера, перенаправляется для аутентификации на OAM. Затем OAM проводит аутентификацию пользователя (по паролю и имени) и перенаправляет его обратно к web-приложению. Поскольку аутентификация осуществляется централизованно, для того чтобы получить доступ к любому приложению, защищенному OAM, пользователю достаточно пройти аутентификацию только один раз.
Как сообщают исследователи компании SEC Consult, в OAM есть уязвимость, позволяющая шифровать и расшифровывать данные, передаваемые между OAM и web-серверами. С ее помощью исследователям удалось создать действительный токен сеанса, зашифровать его, отправить на web-сервер и получить доступ к защищенным ресурсам в качестве пользователя, уже прошедшего аутентификацию с помощью OAM.
Администраторам OAM настоятельно рекомендуется установить обновление, исправляющее данную уязвимость. Атака с использованием уязвимости продемонстрирована в видео ниже.
Подрядчики-лидеры по количеству проектов
Индид, Indeed (ранее Indeed ID) (56) Инфосистемы Джет (50) ДиалогНаука (37) Softline (Софтлайн) (36) Информзащита (33) Другие (854) Card Security (Кард Сек) (4) Национальный аттестационный центр (НАЦ) (4) СэйфТек (SafeTech) (3) Инфосистемы Джет (3) Softline (Софтлайн) (3) Другие (52) Индид, Indeed (ранее Indeed ID) (8) Softline (Софтлайн) (2) Национальный аттестационный центр (НАЦ) (2) TUV Austria (2) Солар (ранее Ростелеком-Солар) (2) Другие (33)Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Индид, Indeed (ранее Indeed ID) (5, 57) СэйфТек (SafeTech) (6, 38) FalconGaze (Фалконгейз) (1, 38) Аладдин Р.Д. (Aladdin R.D.) (20, 27) Visa International (2, 26) Другие (473, 231) СэйфТек (SafeTech) (1, 3) МегаФон (1, 2) Shenzhen Chainway Information Technology (1, 1) ГК ОТР (1, 1) Мультифактор (Multifactor) (1, 1) Другие (3, 3) Индид, Indeed (ранее Indeed ID) (3, 8) Солар (ранее Ростелеком-Солар) (1, 1) СэйфТек (SafeTech) (1, 1) Avanpost (Аванпост) (1, 1) Другие (0, 0) Индид, Indeed (ранее Indeed ID) (2, 9) Shenzhen Chainway Information Technology (1, 6) СэйфТек (SafeTech) (1, 4) Аладдин Р.Д. (Aladdin R.D.) (4, 3) Т-Банк (Тинькофф Банк) (1, 1) Другие (2, 2) Индид, Indeed (ранее Indeed ID) (2, 3) СэйфТек (SafeTech) (1, 3) Shenzhen Chainway Information Technology (1, 2) IT-Lite (АйТи Лайт) (1, 1) Right line (Райт лайн) (1, 1) Другие (9, 9)Распределение систем по количеству проектов, не включая партнерские решения
Indeed Access Manager (Indeed AM) - 45 FalconGaze SecureTower - 38 3-D Secure (3D-Secure) - 23 PayControl - 23 Avanpost IDM Access System - 20 Другие 274 PayControl - 3 МегаФон Мобильный ID - 2 Multifactor Сервис многофакторной аутентификации - 1 JaCarta Authentication Server (JAS) - 1 Samsung Knox - 1 Другие 3 Indeed Access Manager (Indeed AM) - 6 Indeed CM - Indeed Certificate Manager (ранее Indeed Card Manager, Indeed Card Management) - 2 Indeed PAM - Indeed Privileged Access Manager - 2 Avanpost IDM Access System - 1 Solar webProxy Шлюз веб-безопасности - 1 Другие 1 
