此次警告發(fā)布前，今年早些時候曾發(fā)生涉及 Oracle Cloud 自身登錄服務的大規(guī)模數(shù)據(jù)泄露事件，暴露了超過 600 萬條記錄。Searchlight Cyber 的安全研究人員在分析 Oracle Cloud 登錄主機的攻擊面時發(fā)現(xiàn)了該漏洞。調(diào)查顯示，1 月份遭攻陷的同一軟件棧——特別是 Oracle Identity Governance Suite ——?存在一個嚴重的預認證遠程代碼執(zhí)行（RCE）漏洞。

這一發(fā)現(xiàn)揭示了應用程序在處理身份驗證過濾器方面的關鍵疏忽，導致數(shù)百個租戶在無需任何有效憑證的情況下面臨完全淪陷的風險。漏洞存在于 web.xml 配置中的 SecurityFilter 機制。該過濾器旨在管理身份驗證檢查，但依賴 有缺陷的正則表達式白名單。開發(fā)人員本意是允許未經(jīng)身份驗證的訪問 Web 應用程序描述語言（WADL）文件，但實現(xiàn)時未考慮 Java 如何解析請求統(tǒng)一資源標識符（URI）。

攻擊者可通過在 URL 后附加特定矩陣參數(shù) 完全繞過身份驗證。研究團隊演示，在請求 URI 中添加 ;.wadl 可欺騙服務器將請求視為無害的 WADL 檢索，而底層 Java servlet 會將其作為有效 API 調(diào)用處理。這種邏輯差異使攻擊者能夠無限制訪問受保護的 REST 端點，例如 /iam/governance/applicationmanagement。

繞過身份驗證后，威脅行為者可利用 groovyscriptstatus 端點實現(xiàn)代碼執(zhí)行。盡管該端點僅用于對 Groovy 腳本進行語法檢查而非運行，但會執(zhí)行編譯過程。通過注入包含 @ASTTest 注解的腳本，攻擊者可迫使 Java 編譯器在編譯階段執(zhí)行任意代碼。這種技術將語法檢查器轉(zhuǎn)化為 功能完整的遠程 shell，從而獲得對主機系統(tǒng)的控制權(quán)。

該漏洞尤為危險，因為它無需任何前置訪問權(quán)限或憑證。簡單的身份驗證繞過與可靠的代碼執(zhí)行方法相結(jié)合，使其成為勒索軟件團伙和國家支持攻擊者的理想目標。運行Oracle Identity Governance Suite 12c 的組織應立即應用相關補丁，或?qū)⑹苡绊懛张c公共互聯(lián)網(wǎng)隔離。