Oracle iPlanet Web Server (OiWS) es un producto multiplataforma para servidores web de aplicaciones, diseñado para negocios medianos y grandes, escrito en lenguaje C. Su última versión estable (v 7.0.27) fue lanzada en enero del 2018 y actualmente Oracle no le está proporcionando soporte.
Un grupo de expertos han revelado dos vulnerabilidades en la consola de administración de OiWS. Una de ellas permite la exposición de datos sensibles, al obtener acceso de solo lectura a cualquier página dentro de la consola de administración sin necesidad de autenticación y la segunda permite la inyección de imágenes externas, que bien, pueden ser utilizadas para realizar phishing o ingeniería social.
Los investigadores encontraron esta vulnerabilidad a mediados del mes de Enero 2020 y aunque fueron reportadas a Oracle, la marca rechazó realizar cualquier gestión, así como lanzar un parche de seguridad, por motivo que el producto ya no recibe soporte por parte de ellos. Durante el mes de Febrero 2020 se les asignó el seguimiento CVE-2020-9314 y CVE-2020-9315, a las pocas horas de la asignación los expertos notificaron a Oracle de sus intenciones de divulgar las vulnerabilidades, siendo publicadas el día de ayer 10 de Mayo 2020.
Respuesta de Oracle
Según el reporte, la vulnerabilidad (CVE-2020-9315) por exposición de datos confidenciales en la consola de administración web, como claves de cifrado, configuración de la máquina virtual Java (JVM), entre otros, puede ser explotada mediante el reemplazo de cualquier URL por la URL de la consola de administración.
La segunda vulnerabilidad (CVE-2020-3914) reportada por una inyección de imágenes externas, se debe al parámetro “productNameSrc”. Puede ser explotada al usarse una combinación de los parámetros “productNameHeight” y “productNameWidth” debido a una parcheado incompleto para la vulnerabilidad CVE-2012-0516, porque la corrección anterior solo agregaba una validación para enfrentar problemas de cross-site scripting (XSS), pero no agregó una validación para las imágenes cargadas externamente.
Ambas vulnerabilidades fueron probadas en la versión 7 de OiWS, pero los investigadores desconocen si afectan a las versiones anteriores. Los expertos destacaron que las últimas versiones mas recientes de Oracle Glassfish y Eclipse Glassfish, aunque comparte el mismo código que OiWS v7, también fueron probadas y demostraron no poseer estas vulnerabilidades.
Como OiWS no va a recibir soporte oficial, es recomendable para los usuarios que aún utilicen OiWS implementar otros controles para mitigar estas vulnerabilidades, al ser fallas que pueden ser explotadas de forma remota, se recomienda restringir el acceso a la consola de administración desde internet o cambiar a otra plataforma compatible con su aplicación web.
Fuente:
COMENTARIOS