حفره اوراکل دسترسی به کدهای منبع را برای همه فراهم میکند
حفره امنیتی در قابلیت اصلی سیستم Access Manager اوراکل (OAM) که شرکت مذکور به تازگی آن را وصله کرده است تنها به کاربران مجاز امکان میدهد به اطلاعات محافظت شده سازمانی دسترسی داشته باشند.
سیستم OAM نوعی قابلیت تایید هویت را برای اپلیکیشن های مبتنی بر وب در میانافزار Fusion Middleware ارایه میکند. این سیستم میتواند برای ارایه و مسدودسازی دسترسی به برنامههای تلفن همراه و اپلیکیشنهای مبتنی بر فضای رایانش ابری مورد استفاده قرار گیرد.
با این وجودٰ محققان شرکت اتریشی SEC-Consult بر اساس بررسیهای جدید خود اعلام کرد که حفره امنیتی شناسایی شده در فرمت رمزنگاری OAM به آنها امکان میدهد به بخشهای مختلف سیستم مرکزی دسترسی داشته باشند تا بر این اساس هر کاربر در قالب یک مهاجم بتواند به صورت مشروع وارد سیستم شود و با دسترسی به برنامههای مبتنی بر وب که تحت سیستم OAM محافظت میشوند، حملات مورد نظر خود را به انجام برساند.
این طور که شرکت امنیتی SEC-Consult گزارش داده است، سرورهای وب محافظت شده با OAM یک قابلیت ویژه تشخیص هویت را در اختیار دارند که با نام Oracle WebGate شناخته میشود.
زمانی که کاربران تلاش میکنند با استفاده از یک سرور وب به منابع حفاظت شده اطلاعاتی دسترسی پیدا کنند، به صفحه ویژه OAM انتقال داده میشوند تا شناسه کاربری و رمز عبور خود را وارد کنند. اگر از این مرحله با موفقیت عبور کنند، به صفحه ویژه اپلیکیشن باز گردانده میشوند و از این طریق میتوانند به تمام کدهای منبع آن دسترسی داشته باشند.