A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou na segunda-feira (28), uma falha crítica que afeta o Oracle Fusion Middleware ao seu Catálogo de Vulnerabilidades Exploradas, citando evidências de exploração ativa.

A vulnerabilidade, rastreada como CVE-2021-35587, carrega uma pontuação CVSS de 9,8 e afeta o Oracle Access Manager (OAM) versões 11.1.2.3.0, 12.2.1.3.0 e 12.2.1.4.0.

A exploração bem-sucedida do bug de execução de comando remoto pode permitir que um invasor não autenticado com acesso à rede comprometa e assuma completamente as instâncias do Access Manager.

Detalhes adicionais sobre a natureza dos ataques e a escala dos esforços de exploração não estão imediatamente claros.

Os dados coletados pelos pesquisadores mostram que as tentativas de armar a falha estão em andamento e são originárias dos EUA, China, Alemanha, Cingapura e Canadá.

As agências federais são obrigadas a aplicar os patches do fornecedor até 19 de dezembro de 2022, para proteger suas redes contra possíveis ameaças.