В сфере корпоративной информационной безопасности возникла новая критическая угроза, затрагивающая ключевые компоненты инфраструктуры управления доступом и веб-сервисами. Компания Oracle выпустила срочное оповещение о наличии уязвимости, позволяющей выполнять произвольный код удалённо (Remote Code Execution, RCE), в двух своих флагманских продуктах из линейки Fusion Middleware: Oracle Identity Manager и Oracle Web Services Manager. Обнаруженная проблема, получившая идентификатор CVE-2026-21992, представляет чрезвычайный риск, поскольку для её эксплуатации злоумышленнику не требуется аутентификация в системе. Это означает, что атака может быть проведена удалённо любым лицом, имеющим доступ к целевой системе по сети, что значительно упрощает задачу киберпреступников и повышает вероятность массовых инцидентов.
Детали уязвимости CVE-2026-21992
Суть уязвимости заключается в серьёзном недостатке механизма обработки входящих сетевых запросов в указанных корпоративных платформах. Поскольку для эксплуатации не нужны учётные данные, угрозовые акторы могут отправить на атакуемый сервер специально сформированные сетевые пакеты. В случае успешной атаки это позволяет запустить на хосте произвольный код с правами, под которыми работает уязвимый сервис. Подобный глубинный доступ к системе открывает злоумышленникам широкие возможности: от развёртывания вредоносного программного обеспечения, такого как программы-вымогатели, до хищения конфиденциальных корпоративных данных, включая информацию об учётных записях и правах доступа. Более того, скомпрометированный сервер может быть использован как плацдарм для дальнейшего перемещения по внутренней сети предприятия, что представляет угрозу для всей IT-архитектуры организации.
Согласно методологии оценки CVSS версии 3.1, которую применяет Oracle, данная уязвимость получила максимально высокие баллы по критичности (9.8). Хотя в публичном бюллетене намеренно опущены пошаговые технические детали эксплуатации, чтобы предотвратить быстрое создание эксплойтов, предоставленная информация о векторах атаки достаточна для понимания масштаба угрозы. Важно подчеркнуть, что уязвимость активируется через стандартные сетевые протоколы. Следовательно, даже использование защищённых вариантов, таких как HTTPS, не спасает от потенциального взлома до тех пор, пока не будут установлены соответствующие обновления безопасности.
Под угрозой находятся конкретные версии двух продуктов. Для Oracle Identity Manager уязвимыми являются сборки 12.2.1.4.0 и 14.1.2.1.0. Аналогичные версии 12.2.1.4.0 и 14.1.2.1.0 продукта Oracle Web Services Manager также содержат этот опасный недостаток. Для устранения рисков администраторам необходимо обратиться к документации Fusion Middleware (патч KB878741), где содержатся инструкции по установке исправлений. Компания Oracle обращает особое внимание на политику поддержки своего программного обеспечения. Тестирование и выпуск исправлений осуществляются только для тех версий продуктов, которые находятся в фазах Premier Support или Extended Support в рамках политики Lifetime Support. Более ранние, неподдерживаемые версии, официально не проверялись на наличие данной уязвимости, однако в Oracle предупреждают, что с высокой долей вероятности они также содержат этот базовый дефект. Таким образом, организациям, использующим устаревшее программное обеспечение, для эффективного противодействия угрозе необходимо в первую очередь выполнить переход на актуальные поддерживаемые выпуски.
В текущих условиях, когда группы продвинутых постоянных угроз (APT) активно мониторят бюллетени безопасности вендоров для создания новых цепочек эксплуатации, незамедлительная установка патчей остаётся единственным надёжным способом защиты. Промедление с обновлением даёт киберпреступникам окно возможностей для атак. Учитывая критическую роль Oracle Identity Manager в управлении жизненным циклом учётных записей и доступов, а также важность Oracle Web Services Manager для безопасности веб-сервисов, компрометация этих систем может привести к катастрофическим последствиям, включая полную остановку бизнес-процессов, масштабные утечки данных и колоссальные репутационные потери. Специалистам по безопасности и системным администраторам необходимо в приоритетном порядке провести инвентаризацию, идентифицировать уязвимые системы и применить предоставленные исправления, чтобы обеспечить целостность и безопасность корпоративной ИТ-инфраструктуры.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-21992
- https://www.oracle.com/security-alerts/alert-cve-2026-21992.html
