Обновление критических исправлений безопасности Oracle (CSPU), выпущенное на этой неделе, содержит 245 новых исправлений для поддерживаемого локального программного обеспечения, некоторые из которых затрагивают несколько продуктов. Это является реакцией на отраслевую тенденцию гораздо более быстрого обнаружения и устранения уязвимостей безопасности и дополняет традиционный ежеквартальный график выпуска исправлений Oracle.
Текущий пакет исправлений затрагивает широкий спектр продуктов, включая Oracle Enterprise Manager, JD Edwards, Fusion Middleware, MySQL, Peoplesoft и другие.
Oracle заявила, что ее цель — предоставить целенаправленные исправления безопасности с высоким приоритетом в меньшем, более сфокусированном формате, что упрощает их применение с минимальными перебоями. «Oracle проводит анализ каждой уязвимости безопасности, устраняемой в рамках Обновления критических исправлений безопасности», — заявила компания. «Oracle предоставляет эту информацию, чтобы клиенты могли провести собственный анализ рисков, основанный на особенностях использования их продуктов».
Флавио Вилланустре, директор по информационной безопасности (CISO) LexisNexis Risk Solutions, отметил, что, хотя все исправления обозначены как высокоприоритетные, он счел некоторые из них более тревожными.
«Исправление для PeopleSoft по CVE-2026-35273 выделяется [поскольку] оно устраняет критическую уязвимость удаленного выполнения кода в Oracle PeopleSoft, которая широко эксплуатируется в реальных условиях. Это исправление было выпущено в виде внепланового оповещения о безопасности и требует немедленного устранения», — сказал Вилланустре.
«Но недалеко позади находятся исправления для Oracle Fusion, который получил около сотни исправлений, причем более половины из них классифицированы как удаленные эксплойты без аутентификации. Они затрагивают такие компоненты, как WebLogic Server».
Некоторые из этих исправлений касались продуктов Oracle Fusion Middleware, ряд которых будет снят с поддержки Oracle к концу года. Однако Вилланустре не счел многочисленные выявленные в них уязвимости безопасности особенно тревожными.
Он указал: «Oracle предлагает расширенную поддержку для [Fusion Middleware] до декабря 2027 года для тех, кто готов платить больше денег вместо обновления, так что он все еще будет поддерживаться еще 18 месяцев, начиная с настоящего момента».
Санчит Вир Гогиа, главный аналитик Greyhound Research, заявил, что значимость объявления Oracle заключается не в очень большом количестве исправлений, а в их охвате.
«Цифра, за которой стоит следить, — это не 245 исправлений, а то, где они находятся», — отметил он. «Из 245 исправлений 106 относятся к Fusion Middleware, и 53 из них доступны удаленно без аутентификации. Это не гигиена исправлений. Это проблема плоскости управления (control-plane)».
Самые серьезные недостатки, однако, не те, которые имеют наивысшие оценки критичности. «Это те, которые сочетают удаленный доступ, отсутствие аутентификации и привилегированное расположение в слоях, которым доверяют другие системы», — сказал он.
«WebLogic Server несет два таких недостатка с максимальной критичностью — продукт, который злоумышленники сканируют и атакуют годами», — отметил он. «Oracle Coherence несет еще один, а Coherence является общим компонентом, поэтому его риск незаметно умножается в рамках всего предприятия. Oracle Unified Directory может быть скомпрометирован без аутентификации через LDAP. WebCenter находится на публичном периметре. Несколько из этих недостатков меняют область действия, что означает, что один компрометация может затронуть продукты далеко за пределами того, который был взломан первым».
Крис Дойл, руководитель отдела безопасности и соответствия требованиям в JupiterOne, заявил, что, как и Гогиа, уязвимости, которые его больше всего беспокоили, были те, которые можно было использовать без необходимости кражи учетных данных.
«Наиболее выделяются недостатки с оценкой CVSS 10.0 в Oracle Coherence и WebLogic Server, которые могут быть использованы удаленно без необходимости аутентификации. Coherence находится под многими корпоративными стеками приложений, поэтому его компрометация — это не просто одна система, это точка поворота ко всему, что от него зависит», — сказал Дойл.
И он добавил: «WebLogic годами был целью для программ-вымогателей и майнеров криптовалюты, а несанкционированный доступ к консоли — это именно та точка опоры, которую ищут эти кампании».
Дойл также выразил обеспокоенность по поводу уязвимостей PeopleSoft.
«Наибольшую немедленную срочность имеет CVE-2026-35273 в PeopleSoft PeopleTools, которую Oracle подтвердила, что она уже активно эксплуатировалась до выпуска этого исправления, а PeopleSoft управляет системами HR, финансов и студенческими системами, которые целенаправленно атакуют операторы программ-вымогателей», — сказал Дойл. «Это глубоко связанные системы, которые требуют скоординированного обновления по нескольким уровням с регрессионным тестированием на каждом этапе. Часто нет простого компенсирующего контроля, чтобы выиграть время, нужно просто пройти через процесс установки исправлений».
Проблемы с Fusion Middleware — Oracle указала более 30 уязвимостей только в этом пакете — также представляли проблему, учитывая, как большинство ИТ-операций в предприятиях обрабатывают установку исправлений для продуктов с истекающим сроком поддержки (EOL).
«Организации, которые все еще используют его, теперь пытаются установить исправления для продукта, который активно атакуют, одновременно планируя миграцию, которую нельзя отложить. Эти среды сильно кастомизированы, что замедляет установку исправлений, и этот разрыв между «исправление доступно» и «исправление применено» — это именно то время, когда нападают злоумышленники», — сказал Дойл.
«После окончания поддержки новые уязвимости могут вообще не получить исправления», — отметил он. «Учитывая объем, который мы видим всего за этот один цикл, делать ставку на то, что ситуация успокоится до крайнего срока прекращения поддержки, я бы не стал».
Гогиа добавил, что мало хороших новостей, связанных с уязвимостями, которые не были подтверждены как использованные злоумышленниками.
«Отсутствие подтвержденной эксплуатации в других местах не утешает. Как только публикуется консультативное уведомление, злоумышленники читают его, реверсируют исправление, сканируют подверженные атаке корпоративные среды и соревнуются с клиентами, которые все еще ждут окна обслуживания», — сказал Гогиа.
«WebLogic внезапно не стал опасным. Он был постоянной мишенью годами, и одна из его ранних уязвимостей уже находится в государственном каталоге [Known Exploited Vulnerabilities]». Ожидание публичного доказательства эксплуатации — самая дорогая стратегия установки исправлений из всех возможных. К тому времени, когда доказательство появляется, тихая работа, как правило, уже сделана».
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Evan Schuman
