甲骨文 Access Manager 现漏洞，黑客连管理员账号都能霸占

雷锋网消息，据外媒美国时间5月3日报道，来自 SEC 漏洞咨询实验室安全研究人员 Wolfgang Ettlinger 在甲骨文 Access Manager（以下简称 OAM）上发现了一个安全漏洞，黑客可以利用它远程绕过身份验证程序，接管任何用户的账号。如果黑客愿意，他们连管理员的账号都能霸占。

OAM 不但支持多重身份验证（MFA），还能实现 Web 单点登录（SSO）。此外，会话管理、标准 SAML 联盟和 OAuth 等安全防护一应俱全，方便用户安全的访问移动应用和外部云存储。不过，这样严密的防护依然存在漏洞。

这次发现的漏洞代号为 CVE-2018-2879，与 OAM 使用的一种有缺陷的密码格式有关。

“OAM 是甲骨文 Fusion Middleware 的组成部分之一，后者负责掌控各种类型网络应用的认证。”SEC 的 Ettlinger 解释道。

“我们会通过演示证明加密实现的小特性是如何对产品安全造成实际影响的。只要利用了这一漏洞，我们就能制作任意的身份验证令牌来扮演任何用户，同时还能有效的破坏 OAM 的主要功能。”Ettlinger 说道。

Ettlinger 解释称，攻击者可以利用该漏洞找到 OAM 处理加密信息的弱点，诱使该软件意外透露相关信息，随后利用这些信息冒充其他用户。

攻击者能组织一场填充攻击，使甲骨文披露账户的授权 Cookie。随后它就能制作出能生成有效登陆密匙的脚本，想冒充谁就冒充谁。

“在研究中我们发现，OAM 用到的密码格式有个严重的漏洞，只要稍加利用，我们就能制作出会话令牌。拿这个令牌去骗 WebGate 一骗一个准，想接入受保护的资源简直易如反掌。”Ettlinger 解释道。“更可怕的是，会话 Cookie 的生成过程让我们能冒充任意用户名搞破坏。”

雷锋网了解到，OAM 11g 和 12c 版本都受到了该漏洞的影响。

Ettlinger 去年 11 月就将该漏洞报告给了甲骨文，不过 IT 巨头在今年 4 月的补丁更新中才解决了在这一问题。如果你也在用 OAM，还是抓紧时间打补丁来封堵漏洞吧。

雷锋网Via.

Security Affairs