El 18 de julio esta programada la próxima actualización trimestral de Patch Critical de Oracle.
La versión 10g del software, la solución de Oracle para administración de acceso web y administración de usuarios, tiene dos problemas: una vulnerabilidad de redirección abierta y el hecho de que envía valores de cookie en las solicitudes GET.El software cuenta con una capacidad de SSO de dominio de red múltiple propietaria. Crítico a eso es ObSSOCookie, una galleta estupenda de las clases. Si un usuario fue engañado para hacer clic a través de un enlace a través de correo electrónico de phishing, por ejemplo, y entrar en el portal OAM, un atacante remoto podría leer ese valor de la cookie y secuestrar esa sesión, Nabeel Ahmed y Tom Gilis, Lunes.
Ahmed, consultor senior de evaluación de seguridad de la empresa de seguridad Dimension Data Belgium, dijo que él y Gilis han trabajado con 100 "dominios de alto perfil" con OAM 10g. Sólo uno de los sitios estaba adecuadamente protegido contra el ataque. Ahmed y Gilis descubrieron la vulnerabilidad mientras realizaban una evaluación de pruebas de penetración para un cliente a principios de esta primavera.
Los investigadores se dieron cuenta de que el servicio estaba mal configurado después de revisar una serie de peticiones y respuestas HTTP en bruto entre el servidor OAM y el usuario.
Después de que los dos determinaron que el servidor estaba enviando la cookie ObSSOCookie a través de una solicitud GET, Ahmed y Gilis se dispusieron a robar esa cookie. Después de enviar una solicitud al servidor para acceder a un servidor inexistente, los investigadores fueron redirigidos a una pantalla de inicio de sesión y, a su vez, pudieron proteger una cookie OAMREQ desde el servidor. A partir de ahí obtuvieron una redirección - una cookie - del servidor OAM, http: //localhost/obrar.cgi ?, con un largo valor de cookie añadido al final.
A partir de ahí todo lo que tenían que hacer era intercambiar un nombre de dominio válido en para localhost.
"Puesto que podemos controlar a donde el usuario tiene que ir y ya que también podemos leer el valor de la cookie que viene del usuario, podemos secuestrar su sesión ...", escribió Ahmed en un comunicado el 10 de julio.
Oracle descartó las conclusiones de los investigadores, llamando al vector de ataque más como un problema de configuración que como una vulnerabilidad. La empresa no devolvió inmediatamente la solicitud de comentarios de Threatpost el martes, pero dijo a los investigadores que las compañías deberían usar SSODomains, una característica que especifica servidores web legítimos dentro de la instalación de Oracle Access Manager para controlar dónde se envía la redirección obrar.cgi para mitigar los ataques.
La empresa ha fijado técnicamente uno de los problemas en una versión más reciente del software. Oracle hizo que las cookies se cifran en el parámetro GET cuando lanzó OAM 11g, pero la compañía no está dispuesta a backport una corrección a 10g, de acuerdo con Ahmed. Esto podría ser especialmente problemático para una gran cantidad de empresas de alto perfil que siguen funcionando 10g, dice el investigador.
Las grandes corporaciones multinacionales (fabricantes de automóviles, compañías aéreas, una corporación farmacéutica, bancos, procesadores de pagos, una agencia gubernamental de Estados Unidos y uno de los contratistas de defensa más grandes del mundo) son vulnerables al ataque, dijo Ahmed a Threatpost.
"Para ser completamente honesto, puede encontrarlos a través de Shodan ... o una simple búsqueda en Google", dijo Ahmed, quien agregó que en su opinión,
Los investigadores informaron a Deutsche Telekom, una de las compañías afectadas que tenían un programa de recompensas de errores en ejecución, y que tenían que corregir cómo se configuró SSODomains. Según Ahmed, los dos ganaron "una recompensa agradable" de la compañía para divulgar el asunto.
Fecha actualización el 2017-7-13. Fecha publicación el 2017-7-13. Categoría: Oracle. Autor: Oscar olg Mapa del sitioFuente: threatpost