Oracle se ha mantenido hermético sobre el tema y no ha lanzado ningún tipo de explicación significativa en un intento de retrasar el inicio de los ataques que intentan aprovecharse de este problema, siempre y cuando sea posible, dando a los clientes más tiempo para parchear.
Sin password para la cuenta predeterminada que se encuentra en OIM middleware
El producto afectado es Oracle Identity Manager (OIM), una solución de gestión integrada que permite a las empresas controlar qué partes de sus empleados de la red pueden acceder. OIM forma parte del altamente popular ofrece Fusion Middleware de Oracle y es uno de sus componentes más utilizados.
Oracle describe el problema (con un score CVSS v3 10 sobre 10), rastreado bajo el identificador CVE-2017-10151, como una vulnerabilidad de la “cuenta predeterminada”, un término que se utiliza generalmente para describir cuentas sin contraseña o credenciales codificados (también conocido como cuentas de puerta trasera).
“Esta vulnerabilidad es explotable remotamente sin autenticación, es decir, puede ser explotado a través de una red sin necesidad de credenciales de usuario”, dijo Oracle en una alerta de seguridad.
Mientras que otras compañías también fueron capturados incluyendo cuentas por defecto, por lo general se incluyen con fines de depuración, la mayoría sólo son accesibles a nivel local y por lo menos tener una contraseña. Tener una cuenta predeterminada sin contraseña puede acceder a través de Internet es una terrible idea o un enorme descuido.
Oracle lanzó parches el 27 de octubre. Oracle Identity Manager versiones 11.1.1.7, 11.1.1.9, 11.1.2.1.0, 11.1.2.2.0, 11.1.2.3.0, 12.2.1.3.0 y se confirman afectados pero Oracle dice que las versiones anteriores también pueden ser vulnerables.
El 16 de octubre Oracle lanzó la actualización trimestral de octubre de 2017 (Actualización Crítica – CPU). La empresa solucionó 252 errores. CVE-2017-10151 no era uno de ellos. Se aconseja a los usuarios que utilizan Oracle Middleware leer los avisos más recientes de la compañía (alerta de seguridad) para obtener instrucciones.