CISA警告积极利用关键Oracle Fusion中间件漏洞

美国网络安全与基础设施安全局（CISA）周一在其已知漏洞（KEV）目录中添加了一个影响Oracle Fusion中间件的关键缺陷，引用了主动利用漏洞的证据。

该漏洞被跟踪为CVE-221-35587，CVSS得分为9.8，并影响Oracle Access Manager（OAM）版本11.1.2.3.0、12.2.1.3.0和12.2.1.4.0。

成功利用远程命令执行漏洞可能会使具有网络访问权限的未经身份验证的攻击者完全破坏并接管access Manager实例。

越南安全研究人员Nguyen Jang（Janggggg）今年3月早些时候指出，“它可能会让攻击者访问OAM服务器，创建任何具有任何权限的用户，或者只是在受害者的服务器上执行代码”。

甲骨文在2022年1月的关键补丁更新中解决了这个问题。

有关袭击性质和开采规模的更多细节目前尚不清楚。威胁情报公司GreyNoise收集的数据表明，将该漏洞武器化的企图一直在进行，其源头是美国、中国、德国、新加坡和加拿大。

CISA还将最近修补的Google Chrome浏览器（CVE-2022-4135）中的堆缓冲区溢出漏洞添加到KEV目录中，这家互联网巨头承认该漏洞在野外被滥用。

联邦机构需要在2022年12月19日之前应用供应商补丁，以保护其网络免受潜在威胁。