Vulnérabilité critique sur Oracle Identity Manager / CVE-2017-10151

Un post bref car il n'y a pas grand chose de neuf, si ce n'est que ce sujet soulève à nouveau la problématique de l’auditabilité des outils déployés en entreprise.

Oracle Identity Manager (OIM) est la principale solution de gestion des identités (Identity and Access Management / IAM). Il est possible de s’authentifier sur le portail web de gestion de cet outil à partir un compte oublié ou caché, permettant de prendre le contrôle total de la solution :

  • Compte : OIMINTERNAL
  • Mot de passe : « Saisir juste un espace »

Le problème est que cet outil (OIM) permet de gérer les identités et habilitations, donc avec un compte valide et avec des privilèges élevés, vous pourrez vous attribuez les privilèges de votre choix sur tous les systèmes ou applications liées.

Certains parlerons de porte dérobée (backdoor) mais Oracle parle de « vulnérabilité » pour une problématique juste inadmissible !