Vulnerabilità in Single-Sign-On Oracle OAM

Con la presente Yoroi desidera informarLa riguardo al rilevamento di una vulnerabilità all'interno dell’applicativo Oracle Access Manager, utilizzato per la gestione degli accessi a servizi web basati su WebLogic, per integrazioni con servizi OAuth e SAML. La criticità è nota con l'identificativo CVE-2018-2739.

A causa di lacune nella validazione in particolari parametri utilizzati dalla piattaforma, risulta possibile preparare link di richiesta autenticazione per un legittimo portale in grado di redirezionare token e cookie di autenticazione a destinazioni controllate da eventuali attaccanti.

La condizione descritta può essere sfruttata all'interno di campagne di attacco mirate basate su phishing: qualora le utenze di servizi gestiti con OAM dovessero aprire questo genere di link verrebbero inizialmente indirizzate al servizio legittimo, mentre solo al termine delle procedure di login avverrebbe il furto dei token.

Il Produttore ha confermato la problematica ed ha rilasciato opportuni aggiornamenti all'interno del Critical Patch Update di Aprile (CPU-APR-2018-3678067), nel quale risultano afflitte le versioni:

• Oracle Access Manager 12.2.1.3.0
• Oracle Access Manager 11.1.2.3.0
• Oracle Access Manager 10.1.4.3.0

Al momento non sono noti tentativi di attacco basati sullo sfruttamento di questa problematica tuttavia, vista la pubblicazione di dettagli tecnici, Yoroi consiglia di pianificare l’applicazione degli aggiornamenti di sicurezza messi a disposizione dal Produttore qualora all'interno delle Vostre infrastrutture vengano utilizzate tecnologie OAM afflitte.

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro "cyber". 
Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index