报告编号：CERT-R-2023-472

报告来源：360CERT

报告作者：360CERT

更新日期：2023-10-19

0x01   漏洞简述

2023年10月19日，360CERT监测发现Oracle发布了2023年10月份的风险通告，事件等级：严重，事件评分：10。

此次安全更新发布了387个漏洞补丁，其中Oracle Fusion Middleware有46个漏洞补丁更新，主要涵盖了Oracle Enterprise Data Quality、Oracle WebLogic Server、Oracle WebCenter Portal、Oracle Business Process Management Suite、Oracle HTTP Server、Oracle WebCenter Portal等产品。在本次更新的46个漏洞补丁中，有35个漏洞无需身份验证即可远程利用。

对此，360CERT建议广大用户及时请做好资产自查以及预防工作，以免遭受黑客攻击。

0x02   风险等级

360CERT对该漏洞的评定结果如下

0x03   漏洞详情

Oracle Communications 多个严重漏洞

此重要补丁更新包含针对Oracle Communications 的91个新的安全补丁。其中的60个漏洞无需身份验证即可远程利用，即可以通过网络利用而无需用户凭据。严重漏洞编号如下：

- CVE-2023-34034: 未经身份验证的攻击者通过HTTP协议发送恶意请求，最终接管Oracle Communications Cloud Native Core Binding Support Function、Oracle Communications Cloud Native Core Network Exposure Function、Oracle Communications Cloud Native Core Network Repository Function、Oracle Communications Cloud Native Core Policy、Oracle Communications Cloud Native Core Security Edge Protection Proxy，评分9.8

- CVE-2023-38408: 未经身份验证的攻击者通过HTTPS协议发送恶意请求，最终接管Oracle Communications Cloud Native Core Binding Support Function、Oracle Communications Diameter Signaling Router、Oracle Communications Policy Management、Oracle Enterprise Operations Monitor，评分9.8

- CVE-2023-3824: 未经身份验证的攻击者通过HTTPS协议发送恶意请求，最终接管Oracle Communications Diameter Signaling Router，评分9.8

- CVE-2022-42920: 未经身份验证的攻击者通过HTTP协议发送恶意请求，最终接管Oracle Communications MetaSolv Solution、Oracle Communications Order and Service Management、Oracle Communications Policy Management、Oracle WebCenter Portal，评分9.8

Oracle Fusion Middleware 多个严重漏洞

此重要补丁更新包含针对Oracle Communications 的46个新的安全补丁。其中的35个漏洞无需身份验证即可远程利用，即可以通过网络利用而无需用户凭据。严重漏洞编号如下：

- CVE-2023-22089: 未经身份验证的攻击者通过T3、IIOP协议发送恶意请求，最终接管Oracle WebLogic Server，评分9.8

- CVE-2022-42920: 未经身份验证的攻击者通过HTTP协议发送恶意请求，最终接管Oracle Enterprise Data Quality、Oracle WebCenter Portal、Oracle WebLogic Server，评分9.8

- CVE-2023-39022: 未经身份验证的攻击者通过HTTP协议发送恶意请求，最终接管Oracle WebCenter Portal，评分9.8

- CVE-2023-22069: 未经身份验证的攻击者通过T3、IIOP协议发送恶意请求，最终接管Oracle WebLogic Server，评分9.8

Oracle MySQL 多个严重漏洞

此重要补丁更新包含针对Oracle Communications 的37个新的安全补丁。其中的9个漏洞无需身份验证即可远程利用，即可以通过网络利用而无需用户凭据。严重漏洞编号如下：

- CVE-2023-34034: 未经身份验证的攻击者通过多个协议发送恶意请求，最终接管MySQL Enterprise Monitor，评分9.8

- CVE-2022-42898: 经过身份验证的攻击者通过多个协议发送恶意请求，最终接管MySQL Cluster，评分8.8

- CVE-2023-22102: 未经身份验证的攻击者通过多个协议发送恶意请求，最终接管MySQL Protocol，评分8.3

- CVE-2023-38545: 未经身份验证的攻击者通过MySQL Protocol发送恶意请求，最终接管MySQL Server，评分7.5

0x04   修复建议

通用修补建议

及时更新补丁，参考oracle官网发布的补丁:

0x05   产品侧解决方案

若想了解更多产品信息或有相关业务需求，可移步至http://360.net。

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn)，通过资产测绘技术的方式，对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360威胁情报平台（TIP）

360威胁情报平台（TIP）一款构建全面情报管理、赋能、评价、分享能力的新一代本地化情报平台。可以用来增强对关键威胁的检测；可以自动化识别报警中的重点事件；还可以提供情报分析、外部攻击面管理、行业威胁情报等高阶能力，帮助组织全面应对数字时代的安全风险。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对该类漏洞的利用进行实时检测和阻断，请用户联系相关产品区域负责人获取对应产品。

360安全卫士

Windows用户可通过360安全卫士实现对应补丁安装、漏洞修复、恶意软件查杀，其他平台的用户可以根据修复建议列表中的安全建议进行安全维护。

360CERT建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

360终端安全管理系统

360终端安全管理系统在360安全大脑极智赋能下，以云计算、大数据、人工智能等新技术为支撑，是面向企业级客户提供端点安全（EPP)、主机安全(CDR\CWPP)、高级威胁检测与响应(EDR)等各类能力和功能的同一平台管理产品。

创新领先的场景化管理方式，对勒索防护、挖矿防护、HW对抗、重大事件保障、APT防护、等保合规、数据安全防护等场景实现高效的终端安全运营管理。

0x06   时间线

2023年10月18日 Oracle官方发布通告

2023年10月19日 360CERT发布通告

0x07   参考链接

1、 https://www.oracle.com/security-alerts/cpuoct2023.html