Des vulnérabilités au sein d’Oracle Java Cloud
Les polonais de Security Explorations ont découvert de nombreuses vulnérabilités dans le service Cloud Java d’Oracle. Et fourni l’ensemble à l’éditeur fin janvier.
Rien moins que 28 problèmes dont 16 faiblesses « qui rendent possible de casser complètement le bac à sable de sécurité d’un environnement serveur WebLogic cible, » indiquent les chercheurs de Security Explorations dans un communiqué de presse. Et de préciser qu’un attaquant « peut au-delà tirer profit de cela pour accéder aux déploiements applicatifs d’autres utilisateurs du service Oracle Java Cloud hébergés dans le même centre de calcul régional. » L’hermétisme entre instances tombe donc, permettant à un pirate de mettre la main sur les applications, sur leurs modèles de données, et « d’exécuter du code Java arbitraire sur leurs systèmes. » Exemples de codes d’exploitation des vulnérabilités à l’appui, les chercheurs ont transmis leurs informations à Oracle fin janvier. Depuis, l’éditeur a corrigé 24 des problèmes identifiés et continue de travailler sur six d’entre eux. Mais Security Exploration reste sur la réserve et a demandé à Oracle, fin février, si ses centres de calcul US1 et EMEA1 étaient tous les deux désormais protégés contre les vulnérabilités identifiées. Ce à quoi l’éditeur a répondu, le 20 mars, qu’il ne communique pas sur les vulnérabilités qui sont corrigées dans une version de logiciel mais pas dans toutes les versions encore supportées… Et d’indiquer prévoir de « notifier Security Explorations lorsque les vulnérabilités rapportés sont corrigées dans les instances US1 et EMEA1. »
C’est déçus par le processus de gestion de ces vulnérabilités par Oracle que les Polonais ont décidé de communiquer ouvertement. Et plus globalement, pour eux, « la nature des faiblesses identifiées dans le service d’Oracle indiquent qu’il n’a pas fait l’objet d’un examen de sécurité et de tests de pénétration suffisamment complets avant son ouverture au public. » Et d’ajouter, cinglants, que ces vulnérabilités « montrent la faible compréhension du modèle de sécurité de Java et des techniques d’attaque par les ingénieurs d’Oracle. »