2023-01 补丁日: Oracle多个产品漏洞安全风险通告
2023-01-19 16:24

报告编号:B6-2023-011902

报告来源:360CERT

报告作者:360CERT

更新日期:2023-01-19

0x01   漏洞简述

2023年01月19日,360CERT监测发现Oracle发布了2023年1月份的风险通告,漏洞等级:严重,漏洞评分:10.0

此次安全更新发布了327个漏洞补丁,其中Oracle Communications有79个漏洞补丁更新,主要涵盖了Oracle Communications Design Studio、 Oracle Communications Elastic Charging Engine、 Oracle Communications Elastic Charging Engine、 Oracle Communications Order and Service Management、 Oracle Communications Billing and Revenue Management、 Oracle Communications Messaging Server、 Oracle Communications Unified Inventory Management、 Oracle Communications BRM - Elastic Charging Engine 等产品。在本次更新的79个漏洞补丁中,有63个漏洞无需身份验证即可远程利用。

对此,360CERT建议广大用户做好资产自查以及预防工作,以免遭受黑客攻击。

0x02   风险等级

360CERT对该漏洞的评定结果如下

评定方式等级
威胁等级严重
影响面广泛
攻击者价值
利用难度
360CERT评分10.0

0x03   漏洞详情

Oracle Communications 多个严重漏洞

此重要补丁更新包含针对Oracle Communications 的79个新的安全补丁。其中的63个漏洞无需身份验证即可远程利用,即可以通过网络利用而无需用户凭据。严重漏洞编号如下:

- CVE-2022-43403: 未经身份验证的攻击者通过HTTP协议发送恶意请求,最终接管Oracle Communications Cloud Native Core Unified Data Repository,评分9.8

- CVE-2022-42889: 未经身份验证的攻击者通过HTTP协议发送恶意请求,最终接管Management Cloud Engine,评分9.8

- CVE-2022-2526: 未经身份验证的攻击者通过HTTP协议发送恶意请求,最终接管Oracle Communications Cloud Native Core Automated Test Suite,评分9.8

- CVE-2022-27404: 未经身份验证的攻击者通过HTTP协议发送恶意请求,最终接管Oracle Communications Cloud Native Core Binding Support Function,评分9.8

Oracle Financial Services Applications 多个严重漏洞

此重要补丁更新包含针对Oracle Financial Services Applications 的16个新的安全补丁。其中的12个漏洞无需身份验证即可远程利用,即可以通过网络利用而无需用户凭据。严重漏洞编号如下:

- CVE-2022-33980: 未经身份验证的攻击者通过HTTP协议发送恶意请求,最终接管Oracle Banking Enterprise Default Management、Oracle Banking Party Management、Oracle Financial Services Crime and Compliance Management Studio,评分9.8

- CVE-2022-42003: 未经身份验证的攻击者通过HTTP协议发送恶意请求,最终接管Oracle Banking Enterprise Default Management、Oracle Banking Loans Servicing、Oracle Banking Party Management、Oracle Banking Platform,评分7.5

Oracle Enterprise Manager 多个严重漏洞

此重要补丁更新包含针对Oracle Enterprise Manager的3个新的安全补丁。其中的2个漏洞无需身份验证即可远程利用,即可以通过网络利用而无需用户凭据。严重漏洞编号如下:

- CVE-2022-42889: 未经身份验证的攻击者通过HTTP协议发送恶意请求,最终接管Enterprise Manager Base Platform,评分9.8

- CVE-2022-25647: 未经身份验证的攻击者通过HTTPS协议发送恶意请求,最终接管Enterprise Manager Base Platform,评分7.5

Oracle Communications Applications 多个严重漏洞

此重要补丁更新包含针对Oracle Communications 的39个新的安全补丁。其中的31个漏洞无需身份验证即可远程利用,即可以通过网络利用而无需用户凭据。严重漏洞编号如下:

- CVE-2022-42889: 未经身份验证的攻击者通过HTTPS协议发送恶意请求,最终接管Oracle Communications Design Studio,评分9.8

- CVE-2022-33980: 未经身份验证的攻击者通过TCP协议发送恶意请求,最终接管Oracle Communications Elastic Charging Engine,评分9.8

- CVE-2022-42889: 未经身份验证的攻击者通过TCP协议发送恶意请求,最终接管Oracle Communications Elastic Charging Engine,评分9.8

- CVE-2022-42889: 未经身份验证的攻击者通过HTTP协议发送恶意请求,最终接管Oracle Communications Order and Service Management,评分9.8

0x04   修复建议

通用修补建议

及时更新补丁,参考oracle官网发布的补丁:

https://www.oracle.com/security-alerts/cpujan2023.html

0x05   产品侧解决方案

若想了解更多产品信息或有相关业务需求,可移步至http://360.net。

360企业安全云

用户可以通过安装360安全卫士并进行全盘杀毒来维护计算机安全。360CERT建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。

360威胁情报平台(TIP)

360威胁情报平台(TIP)一款构建全面情报管理、赋能、评价、分享能力的新一代本地化情报平台。可以用来增强对关键威胁的检测;可以自动化识别报警中的重点事件;还可以提供情报分析、外部攻击面管理、行业威胁情报等高阶能力,帮助组织全面应对数字时代的安全风险。

360安全卫士

Windows用户可通过360安全卫士实现对应补丁安装、漏洞修复、恶意软件查杀,其他平台的用户可以根据修复建议列表中的安全建议进行安全维护。

360CERT建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。

360本地安全大脑

360本地安全大脑是将360云端安全大脑核心能力本地化部署的一套开放式全场景安全运营平台,实现安全态势、监控、分析、溯源、研判、响应、管理的智能化安全运营赋能。360本地安全大脑已支持对相关漏洞利用的检测,请及时更新网络神经元(探针)规则和本地安全大脑关联分析规则,做好防护。

0x06   时间线

2023-01-18 Oracle官方发布通告

2023-01-19 360CERT发布通告

0x07   参考链接

1、 https://www.oracle.com/security-alerts/cpujan2023.html