Oracle Access Manager затронула серьезная уязвимость аутентификации

Oracle Access Manager затронула серьезная уязвимость аутентификации

Oracle Access Manager затронула серьезная уязвимость аутентификации

Недавно пропатченная Oracle уязвимость нарушала основные функции Oracle Access Manager (OAM), предназначенные для предоставления доступа к защищенным данным предприятия только авторизованным пользователям.

OAM предоставляет функцию аутентификации для веб-приложений на основе Oracle Fusion Middleware. Возможности этого решении также позволяют блокировать доступ к внешним мобильным и облачным приложениям.

Однако специалисты австралийской компании SEC-Consult обнаружили недостаток в реализации криптографического алгоритма, позволяющего создавать токены сеанса для любого пользователя. Злоумышленники могут использовать этот баг, выдав себя за легитимного пользователя, тем самым получив доступ к веб-приложениям, которые OAM должен защищать.

Как пояснили эксперты, проблема кроется в компоненте аутентификации Oracle WebGate.

Когда пользователи пытаются получить доступ к защищенному ресурсу, они перенаправляются на страницу OAM, где нужно ввести имя пользователя и пароль. Если данные введены корректно, пользователь перенаправляется обратно в веб-приложение, где он может войти в систему, используя зашифрованный токен аутентификации, который хранится в файле cookie браузера.

Однако недостаток позволил исследователю SEC-Consult расшифровать токен аутентификации.

«Используя эту уязвимость, мы смогли создать токен сеанса. WebGate принимает такой токен за легитимный и предоставляет доступ к защищенным ресурсам», — объясняет эксперт — «Более того, можно также создать специальный cookie-файл для произвольного имени пользователя, что позволит выдать себя за любого пользователя».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

WhatsApp, Skype и еще 8 коммуникационных сервисов включены в реестр ОРИ

Роскомнадзор (РКН) внес в реестр организаторов распространения информации (ОРИ) 10 коммуникационных сервисов, среди которых WhatsApp (принадлежит корпорации Meta, признанной экстремистской организацией и запрещенной в России), Skype, Wire, Element, KakaoTalk, DUST, Keybase, Trillian, Status и Crypviser.

При этом WhatsApp получил соответствующий статус принудительно. Роскомнадзор воспользовался своим правом вносить различные сервисы и платформы, которые формально удовлетворяют требованиям к организаторам распространения информации.

Сам термин ОРИ появился в июне 2018 года в рамках так называемых «законов Яровой». Сервисы, которые входят в реестр ОРИ, обязаны хранить данные пользователей (переписки, аудио- и видеосообщения) и предоставлять их по запросу спецслужб и правоохранительных органов. Несоблюдение данных требований влечет крупные штрафы (до 6 млн рублей) и блокировку.

«Да, WhatsApp принудительно внесли в реестр ОРИ. Сервисы, которые де-факто являются организаторами распространения информации, в соответствии с российским законодательством признаются таковыми де-юре и включаются в реестр ОРИ на территории РФ», — так ответили в пресс-службе регулятора в ответ на запрос «Интерфакса».

Партнер практики интеллектуальной собственности Comply Максим Али в комментарии для русского издания Forbes обратил внимание на риски для пользователей WhatsApp и Skype.

Их владельцы последовательно придерживаются санкционного режима, и шансов, что они будут подключаться к Системе оперативно-разыскных мероприятий и выполнять технические требования ФСБ, почти нет. Вопрос, будут ли они заблокированы, остается открытым.

Претензии к WhatsApp выдвигались и раньше.

«В адрес администрации WhatsApp не раз направлялись требования, в частности пресекать распространение призывов к участию в экстремистских акциях, но никаких реакций не последовало. Чаты, в которых распространяется эта информация, продолжают множиться», — заявил депутат Госдумы Антон Немкин, комментируя в пресс-центре Парламентской Газеты замедление сервиса в ряде северокавказских регионов летом.

Блокировка Viber 13 декабря была вызвана в том числе несоблюдением требований к ОРИ. Как подчеркнул Герман Клименко в комментарии для РБК, данные действия стали предупредительным выстрелом для всех мессенджеров, включая WhatsApp и Telegram.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru