Các nhà nghiên cứu an ninh mạng đã công bố chi tiết kỹ thuật về lỗ hổng nghiêm trọng Fusion Middleware mà Oracle mất khoảng 6 tháng để vá.
CVE-2022-21445 (điểm CVSS 9,8), lỗ hổng là sự giải mã dữ liệu không đáng tin, có thể bị khai thác để ACE. Lỗi này được xác định trong ADF Faces component, có thể bị tin tặc khai thác từ xa mà không cần xác thực.
Lỗ hổng trên được phát hiện bởi 2 chuyên gia an ninh mạng PeterJson của VNG Corporation và Nguyen Jang của VNPT. Sau đó Oracle nhận được báo cáo này vào tháng 10 năm 2021 và phát hành trong bản vá tháng 4 năm 2022.
Theo hai chuyên gia, vấn đề RCE “pre-authentication” (một thành phần được sử dụng cho SSO trong nhiều dịch vụ trực tuyến của Oracle) là một lỗ hổng ảnh hưởng đến tất cả các ứng dụng dựa trên ADF Faces, bao gồm Business Intelligence, Enterprise Manager, Identity Management, SOA Suite, WebCenter Portal, Application Testing Suite và Transportation Management.
PeterJson và Jang cũng đã phát hiện ra CVE-2022-21497 (điểm CVSS là 8,1), một lỗ hổng giả mạo yêu cầu phía máy chủ (SSRF) có thể kết hợp với CVE-2022-21445 để thực thi pre-authentication trong Oracle Access Manager.
Các nhà nghiên cứu đặt tên cho cuộc tấn công là “The Miracle Exploit” và cho biết tất cả các hệ thống trực tuyến và dịch vụ đám mây của Oracle dựa trên ADF Faces đều bị ảnh hưởng.
Trong một bản báo cáo kỹ thuật về hai lỗ hổng này, PeterJson lưu ý lỗ hổng ADF Faces cũng đã được báo cáo cho BestBuy, Dell, NAB Group, Regions Bank, Starbucks, USAA và các tổ chức bị ảnh hưởng khác.