0x01 事件简述
2022年07月20日,360CERT监测发现Oracle发布了2022年7月份的风险通告,事件等级:严重,事件评分:10.0。
此次安全更新发布了349个漏洞补丁,其中Oracle Communications有59个漏洞补丁更新,主要涵盖了Oracle Banking Branch、Oracle Banking Cash Management、Oracle Banking Corporate Lending Process Management、Oracle Banking Credit Facilities Process Management、Oracle Financial Services Crime and Compliance Management Studio等产品。在本次更新的59个漏洞补丁中,有38个漏洞无需身份验证即可远程利用。
需要注意的是,Oracle自2022年4月补丁更新发布以来,Oracle 已针对 Oracle E-Business Suite CVE-2022-21500(2022 年 5 月 19 日)发布了安全更新。建议用户应用 2022 年 7 月的 Oracle E-Business Suite 重要补丁更新。
对此,360CERT建议广大用户做好资产自查以及预防工作,以免遭受黑客攻击。
0x02 风险等级
360CERT对该漏洞的评定结果如下
评定方式
等级
威胁等级
严重
影响面
广泛
攻击者价值
高
利用难度
低
360CERT评分
10.0
0x03 漏洞详情
Oracle Communications 多个严重漏洞
此重要补丁更新包含针对Oracle Communications 的56个新的安全补丁。其中的45个漏洞无需身份验证即可远程利用,即可以通过网络利用而无需用户凭据。严重漏洞编号如下:
– CVE-2022-22947: 未经身份验证的攻击者通过HTTP协议发送恶意请求,最终接管Oracle Communications Cloud Native Core Binding Support Function、Oracle Communications Cloud Native Core Console、Oracle Communications Cloud Native Core Network Repository Function、Oracle Communications Cloud Native Core Security Edge Protection Proxy,评分10.0
– CVE-2022-22965: 未经身份验证的攻击者通过HTTP协议发送恶意请求,最终接管Oracle Communications Cloud Native Core Binding Support Function,评分9.8
– CVE-2022-23219: 未经身份验证的攻击者通过HTTP协议发送恶意请求,最终接管Oracle Communications Cloud Native Core Binding Support Function,评分9.8
– CVE-2022-1154: 未经身份验证的攻击者通过HTTP协议发送恶意请求,最终接管Oracle Communications Cloud Native Core Network Exposure Function,评分9.8
Oracle Financial Services Applications 多个严重漏洞
此重要补丁更新包含针对Oracle Communications 的59个新的安全补丁。其中的38个漏洞无需身份验证即可远程利用,即可以通过网络利用而无需用户凭据。严重漏洞编号如下:
– CVE-2022-22963: 未经身份验证的攻击者通过HTTP协议发送恶意请求,最终接管Oracle Banking Branch、Oracle Banking Cash Management、Oracle Banking Corporate Lending Process Management、Oracle Banking Credit Facilities Process Management、Oracle Banking Electronic Data Exchange for Corporates、Oracle Banking Liquidity Management、Oracle Banking Origination、Oracle Banking Supply Chain Finance、Oracle Banking Trade Finance Process Management、Oracle Banking Virtual Account Management,评分9.8
– CVE-2022-22978: 未经身份验证的攻击者通过HTTP协议发送恶意请求,最终接管Oracle Financial Services Crime and Compliance Management Studio,评分9.8
Oracle Enterprise Manager 多个严重漏洞
此重要补丁更新包含针对Oracle Communications 的6个新的安全补丁。所有的漏洞无需身份验证即可远程利用,即可以通过网络利用而无需用户凭据。严重漏洞编号如下:
– CVE-2022-22721: 未经身份验证的攻击者通过HTTP协议发送恶意请求,最终接管Enterprise Manager Ops Center,评分9.8
– CVE-2022-1292: 未经身份验证的攻击者通过HTTPS协议发送恶意请求,最终接管Enterprise Manager Ops Center,评分9.8
– CVE-2022-21536: 未经身份验证的攻击者通过HTTP协议发送恶意请求,最终接管Enterprise Manager Base Platform,评分8.1
Oracle Communications Applications 多个严重漏洞
此重要补丁更新包含针对Oracle Communications Applications 的17个新的安全补丁。其中的12个漏洞无需身份验证即可远程利用,即可以通过网络利用而无需用户凭据。严重漏洞编号如下:
– CVE-2022-23305: 未经身份验证的攻击者通过XMPP协议发送恶意请求,最终接管Oracle Communications Instant Messaging Server和Oracle Communications Offline Mediation Controller,评分9.8
– CVE-2022-23632: 未经身份验证的攻击者通过HTTP协议发送恶意请求,最终接管Oracle Communications Unified Inventory Management,评分9.8
– CVE-2022-22965: 未经身份验证的攻击者通过HTTP协议发送恶意请求,最终接管Oracle Communications Unified Inventory Management,评分9.8
0x04 修复建议
通用修补建议
及时更新补丁,参考oracle官网发布的补丁:
https://www.oracle.com/security-alerts/cpuapr2022.html
0x05 产品侧解决方案
若想了解更多产品信息或有相关业务需求,可移步至http://360.net。
360安全分析响应平台
360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对该类漏洞的利用进行实时检测和阻断,请用户联系相关产品区域负责人获取对应产品。
360安全卫士
Windows用户可通过360安全卫士实现对应补丁安装、漏洞修复、恶意软件查杀,其他平台的用户可以根据修复建议列表中的安全建议进行安全维护。
360CERT建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。
360安全卫士团队版
用户可以通过安装360安全卫士并进行全盘杀毒来维护计算机安全。360CERT建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。
360本地安全大脑
360本地安全大脑是将360云端安全大脑核心能力本地化部署的一套开放式全场景安全运营平台,实现安全态势、监控、分析、溯源、研判、响应、管理的智能化安全运营赋能。360本地安全大脑已支持对相关漏洞利用的检测,请及时更新网络神经元(探针)规则和本地安全大脑关联分析规则,做好防护。
0x06 时间线
2022-07-19 Oracle官方发布通告
2022-07-20 360CERT发布通告
0x07 参考链接
1、 https://www.oracle.com/security-alerts/cpujul2022.html
文章原文链接:https://www.anquanke.com/post/id/276742