Oracle publie un correctif d'urgence pour une vulnérabilité critique RCE dans Identity Manager
Oracle a émis une alerte de sécurité d'urgence le 20 mars 2026, traitant des vulnérabilités critiques d'exécution de code à distance dans Oracle Identity Manager et Oracle Web Services Manager. Les failles permettent aux attaquants d'exécuter du code arbitraire sur des systèmes vulnérables sans nécessiter d'authentification, à condition que les composants affectés soient exposés à Internet.
Les vulnérabilités ont été découvertes grâce à la recherche interne en sécurité d'Oracle et au processus de divulgation coordonnée. L'équipe de sécurité d'Oracle a identifié les failles lors d'évaluations de sécurité de routine de leurs produits middleware, en se concentrant spécifiquement sur les composants qui traitent les requêtes réseau externes. L'entreprise a immédiatement commencé à développer des correctifs une fois la gravité des vulnérabilités apparue.
Selon l'analyse de sécurité de BleepingComputer, les vulnérabilités proviennent d'une validation incorrecte des entrées dans les composants orientés web d'Oracle Identity Manager et de Web Services Manager. Ces composants traitent les requêtes HTTP entrantes sans assainir adéquatement les données fournies par l'utilisateur, créant des opportunités pour les attaquants d'injecter du code malveillant qui s'exécute avec les privilèges du compte de service Oracle.
Le vecteur d'attaque ne nécessite aucune interaction de l'utilisateur et peut être exploité à distance via le réseau. Les attaquants peuvent créer des requêtes HTTP spécialement formatées qui contournent les mécanismes d'authentification et déclenchent l'exécution de code sur le système cible. Cela rend les vulnérabilités particulièrement dangereuses pour les organisations qui ont exposé ces composants Oracle directement à Internet ou via des pare-feu d'applications web.
L'avis de sécurité d'Oracle indique qu'une exploitation réussie pourrait conduire à une compromission complète du système, y compris la capacité d'installer des logiciels malveillants, d'accéder à des données sensibles, de créer de nouveaux comptes utilisateurs et de pivoter vers d'autres systèmes au sein du réseau. L'entreprise a classé ces vulnérabilités comme nécessitant une attention immédiate en raison de leur nature critique et du potentiel d'exploitation généralisée.
Organisations utilisant une infrastructure Oracle Identity exposée à Internet
Les vulnérabilités affectent toutes les versions d'Oracle Identity Manager et d'Oracle Web Services Manager qui sont exposées à l'accès réseau, en particulier celles accessibles depuis Internet. Les organisations les plus à risque incluent les entreprises utilisant les solutions de gestion d'identité et d'accès d'Oracle pour l'authentification des employés, l'accès des partenaires ou les applications destinées aux clients.
Oracle Identity Manager est couramment déployé dans de grands environnements d'entreprise pour gérer les identités des utilisateurs, les rôles et les autorisations d'accès à travers plusieurs systèmes et applications. Les organisations utilisant ce composant pour la gestion d'identité fédérée, les services de connexion unique ou le provisionnement automatisé des utilisateurs sont particulièrement vulnérables si leurs déploiements sont accessibles au réseau.
Web Services Manager, qui fournit des capacités de sécurité et de gestion pour les services web, est souvent déployé dans des architectures orientées services et des scénarios de gestion d'API. Les entreprises utilisant ce composant pour sécuriser les services web, gérer l'accès aux API ou fournir l'application de politiques de sécurité pour des applications distribuées font face à un risque significatif si ces systèmes sont exposés à des réseaux externes.
Les vulnérabilités posent la plus grande menace aux organisations qui ont déployé ces composants Oracle dans des réseaux DMZ, des environnements cloud avec des adresses IP publiques, ou derrière des pare-feu d'applications web qui permettent encore au trafic HTTP d'atteindre les services vulnérables. Même les organisations avec une segmentation réseau peuvent être à risque si des attaquants internes ou des systèmes compromis peuvent atteindre les composants Oracle vulnérables.
Correction immédiate requise pour les composants Oracle Identity et Web Services
Oracle a publié des correctifs d'urgence via leur mécanisme de mise à jour critique, disponibles immédiatement via My Oracle Support. Les administrateurs système doivent télécharger et appliquer les correctifs pour leurs versions spécifiques d'Oracle Identity Manager et de Web Services Manager. Les correctifs traitent les failles de validation des entrées en mettant en œuvre une assainissement approprié des paramètres des requêtes HTTP et en renforçant les vérifications d'authentification.
Les organisations devraient prioriser la correction des instances exposées à Internet en premier, suivies par les déploiements internes qui pourraient être atteints par des attaquants potentiels. Le processus de correction nécessite l'arrêt des services Oracle affectés, l'application des mises à jour et le redémarrage des services. Oracle recommande de tester les correctifs dans des environnements non-production d'abord, mais étant donné la nature critique de ces vulnérabilités, la correction en production devrait suivre immédiatement après la vérification de la fonctionnalité de base.
Pour les organisations incapables de corriger immédiatement, Oracle recommande de mettre en œuvre des protections au niveau du réseau telles que la suppression de l'accès direct à Internet aux composants vulnérables, la mise en œuvre de règles de pare-feu strictes pour limiter l'accès uniquement aux adresses IP de confiance, et le déploiement de pare-feu d'applications web avec des règles spécifiquement conçues pour bloquer les requêtes HTTP malveillantes ciblant ces vulnérabilités.
Les administrateurs système devraient également revoir leurs configurations de déploiement Oracle pour s'assurer que les composants Identity Manager et Web Services Manager ne sont pas inutilement exposés à l'accès réseau. Les chercheurs en sécurité recommandent de mettre en œuvre des stratégies de défense en profondeur incluant la segmentation réseau, les contrôles d'accès et la surveillance des activités suspectes ciblant les composants middleware Oracle.
