Oracle alerte sur une vulnérabilité critique de son gestionnaire d’identités

Identity Manager (OIM) est l’une des briques essentielles de l’offre de gestion des identités et des accès d’Oracle : elle est au cœur de la gestion du cycle de vie des comptes utilisateurs et des droits associés, notamment pour provisionner ces éléments au sein d’un annuaire. OIM permet ainsi notamment de produire les workflows liés aux demandes de droits, ou de gérer les entrées/sorties de collaborateurs dans l’entreprise. La prise de contrôle d’OIM par un tiers mal intentionné peut donc s’avérer particulièrement dangereux.

Et c’est pourtant ce que permettre l’exploitation de la vulnérabilité CVE-2017-10151, comme le reconnaît Oracle dans une alerte de sécurité. Et l’exploitation de celle-ci n’apparaît pas même particulièrement complexe, ce qui lui vaut, au total, une note de 10 sur l’échelle CVSSv3, la plus élevée. Car l’exploitation se fait via le réseau, et sans authentification. Certes, un attaquant devrait avoir pu s’introduire dans l’environnement au préalable. Mais cela fait, avec un OIM ne bénéficiant pas du correctif à portée de main, un attaquant pourrait disposer d’un large boulevard. Oracle en semble bien conscient : « compte tenu de la sévérité de cette vulnérabilité, Oracle recommande fortement à ses clients d’appliquer les mises à jour [associées] sans délai ». OIM 11.1.1.7, 11.1.2.3, et 12.2.1.3 sont concernés.

Reste à savoir si les entreprises utilisatrices suivront la recommandation et appliqueront rapidement les correctifs proposés, avant d’être affectées d’une manière ou d’une autre.