CVE-2022-21587: використання вразливості Oracle E-Business Suite

Необхідно реагувати на різні компроміси, що виникають внаслідок використання CVE-2022-21587, критичної вразливості довільного завантаження файлів (оцінка 9,8 за показником ризику CVSS v3), що впливає на Oracle E-Business Suite (EBS). У жовтні 2022 року Oracle опублікувала рекомендації щодо критичного оновлення виправлень, які містили виправлення, а 2 лютого 2023 року CISA додала CVE-2022-21587 до свого каталогу відомих використаних уразливостей (KEV).

Oracle E-Business Suite — це пакетна колекція корпоративних програм для широкого спектру завдань, таких як керування взаємовідносинами з клієнтами (CRM), планування ресурсів підприємства (ERP) і управління людським капіталом (HCM).

CVE-2022-21587 може призвести до неавтентифікованого віддаленого виконання коду.

16 січня 2023 року Viettel Security опублікувала аналіз проблеми, в якому детально описано як причину вразливості, так і метод використання вразливості для виконання коду. Експлойт, заснований на техніці аналізу безпеки Viettel, був опублікований на GitHub компанією «HMs» 6 лютого 2023 року.

8 лютого 2023 року Rapid7 опублікував технічний аналіз CVE-2022-21587 на AttackerKB . Особливо слід відзначити те, що ми виявили можливість завантажувати довільні сторінки сервера Java (JSP), що дозволяє експлуатацію за межами веб-оболонки Perl, що спостерігалося досі.

Уражені продукти

• Oracle Web Applications Desktop Integrator, що постачається разом із Oracle E-Business Suite версій 12.2.3–12.2.11, уразливі.

Що ми бачимо

Зловмисники використовують вищезазначений експлойт із підтвердженням концепції, завантажуючи сценарій perl, який отримує (через curl/wget) додаткові сценарії для завантаження зловмисного бінарного корисного навантаження, що робить хост жертви частиною ботнету.