Kerentanan kritis telah ditemukan di sistem Oracle Identity Manager yang dapat dengan mudah dieksploitasi oleh penyerang yang tidak berkepentingan untuk mengambil kendali penuh atas sistem yang terkena dampak.
Kerentanan kritis yang dilacak sebagai CVE-2017-10151, telah diberi CVSS dengan skor 10 dan mudah dieksploitasi tanpa interaksi pengguna, Oracle mengatakan dalam postingan websitenya yang dipublikasikan Senin tanpa mengungkapkan banyak rincian tentang masalah ini.
Kerentanan tersebut mempengaruhi komponen Oracle Identity Manager (OIM) dari Oracle Fusion Middleware – sistem manajemen identitas perusahaan yang secara otomatis mengelola hak akses pengguna di perusahaan.
Celah keamanan karena “akun default” yang tidak diautentikasi melalui jaringan yang sama dapat mengakses melalui HTTP untuk mengkompromikan Oracle Identity Manager.
Oracle belum merilis rincian lengkap kerentanan dalam upaya mencegah eksploitasi di alam bebas, namun di sini “akun default” bisa menjadi akun rahasia dengan hard-coded atau tanpa password.
“Kerentanan ini dapat dieksploitasi secara remote tanpa autentikasi, yaitu, dapat dieksploitasi melalui jaringan tanpa memerlukan kredensial pengguna,” ujar Oracle.
Kerentanan Oracle Identity Manager yang mudah dieksploitasi yaitu versi 11.1.1.7, 11.1.1.9, 11.1.2.1.0, 11.1.2.2.0, 11.1.2.3.0 dan 12.2.1.3.0.
Oracle telah merilis patch untuk semua versi produk yang terkena dampaknya, jadi sangat disarankan untuk memasang patch sebelum peretas mendapatkan kesempatan untuk mengeksploitasi kerentanan tersebut dan menargetkan perusahaanmu.
“Karena tingkat keparahan kerentanan ini, Oracle sangat menganjurkan agar pelanggan menerapkan pembaruan yang diberikan oleh Security Alert ini tanpa penundaan,” Oracle memperingatkan.
Rilis produk yang tidak ada dalam Premier Support atau Extended Support tidak diuji karena adanya kerentanan.
Namun, Oracle juga mengatakan bahwa “kemungkinan versi yang rilis terdahulu pun terpengaruh juga oleh kerentanan ini. Akibatnya, Oracle merekomendasikan agar pelanggan melakukan upgrade ke versi yang didukung.”
Jadi tidak hanya untuk versi-versi yang dicantumkan saja, tapi juga berlaku untuk versi-versi sebelumnya. Karena ada kemungkinan versi-versi sebelumnya juga rentan terhadap serangan ini.
Patch keamanan untuk kerentanan ini dikeluarkan sekitar dua minggu setelah Oracle Critical Patch Update (CPU) pada Oktober 2017. Pada saat itu telah berhasil memperbaiki total 252 kerentanan pada produknya, termasuk 40 kerentanan di Fusion Middleware dan 26 diantaranya dapat dieksploitasi secara remote tanpa autentikasi.
