Oracle Kimlik Yöneticisinde Kritik Güvenlik Açığı

oracle

Oracle’ın kurumsal kimlik yönetim sisteminde oldukça kritik bir güvenlik açığı keşfedildi. Keşfedilen kritik güvenlik açığı sayesinde bilgisayar korsanları etkilenen sistemler üzerinde uzaktan tam kontrole sahip olabilir.

Bahsi geçen kritik güvenlik açığına CVE-2017-10151 kodu verildi ve CVSS skoru olarak 10 puan aldı. Bu da demek oluyor ki güvenlik açığı oldukça ciddi ve herhangi bir kullanıcı etkileşimi olmadan kolaylıkla faydalanılabilir bir açık. Oracle konuyla ilgili yayınladığı belgede güvenlik açığıyla ilgili fazla detay vermedi.

Kritik güvenlik açığı Oracle Fusion Middleware’ın Oracle Identity Manager (OIM) bileşenini etkiliyor.

Oracle’da bulunan güvenlik açığına sebep olan şeyin bir “varsayılan hesap” olduğu ortaya çıktı. Bahsi geçen varsayılan hesap sayesinde aynı ağ üzerindeki herhangi bir saldırgan Oracle Identity Manager’a erişebilir.

Oracle konu ile ilgili detayları paylaşmadı çünkü siber suçluların bu detayları bahsi geçen açık kapatılmadan öğrenmesini istemiyor. Fakat bazı güvenlik araştırmacılarına göre varsayılan hesap şifresi olmayan bir hesap olabilir.

Kimlik denetimi olmaksızın kolayca yararlanılabilecek güvenlik açığı Oracle Identity Manager’ın şu sürümlerini etkiliyor: 11.1.1.7, 11.1.1.9, 11.1.2.1.0, 11.1.2.2.0, 11.1.2.3.4 ve 12.2.1.3.0.

Oracle bulunan kritik güvenlik açığını kapatmak için gerekli yamaları yayınladı. Fakat Oracle’ın bu hizmetlerini kullanan firmaların muhtemel saldırılardan korunmaları için yayınlanan yamaları kurmaları gerekiyor.

Kaynak: thehackernews.com