Oracle vá lỗ hổng cho phép thực thi mã từ xa không cần xác thực trong Identity Manager

Oracle vừa qua đã phát hành bản vá khẩn cấp cho lỗ hổng nghiêm trọng trong sản phẩm Identity Manager và Web Services Manager, cho phép tin tặc lợi dụng để thực thi mã từ xa.

Thông tin chi tiết

• Định danh lỗ hổng: CVE-2026-21992

• Điểm CVSS (3.1): 9.8

• Mức độ nghiêm trọng: CRITICAL - Cực kỳ nghiêm trọng

• Mô tả: Lỗ hổng tồn tại trong thành phần REST WebServices trong Oracle Identity Manager và Web Services Security trong Oracle Web Services Manager, cho phép tin tặc ẩn danh (unauthenticated attacker) với quyền truy cập mạng thông qua giao thức HTTP có thể dễ dàng khai thác, qua đó thực thi mã từ xa và chiếm quyền điều khiển hoàn toàn các hệ thống bị ảnh hưởng.

• Phiên bản bị ảnh hưởng: Oracle Identity Manager và Oracle Web Services Manager phiên bản 12.2.1.4.0, 14.1.2.1.0

Oracle Identity Manager và Oracle Web Services Manager là hai sản phẩm thuộc bộ giải pháp Oracle Fusion Middleware. Oracle Identity Manager vốn được biết đến là một nền tảng quản trị danh tính doanh nghiệp giúp tự động hóa việc cấp phát, thu hồi quyền người dùng, quản lý truy cập trên các ứng dụng và hệ thống. Oracle Web Services Manager nổi tiếng là một khung quản lý dựa trên chính sách (policy-driven) dùng để quản lý và bảo vệ các dịch vụ web.

Lỗ hổng CVE-2026-21992 đang ảnh hưởng đến Oracle Fusion Middleware được đánh giá với mức độ nguy hiểm cực kỳ nghiêm trọng. Theo khuyến nghị từ hãng Oracle, lỗ hổng với điểm số CVSS 9.8 này tác động trực tiếp lần lượt tới hai thành phần REST WebServices và Web Services Security trong Oracle Identity Manager và Oracle Web Services Manager, cho phép tin tặc ẩn danh, không cần xác thực trên hệ thống, chiếm được quyền truy cập mạng qua giao thức HTTP có thể trực tiếp khai thác, từ đó kiểm soát hoàn toàn hệ thống bị nhắm tới.

Khuyến nghị & Khắc phục

Mặc dù chưa ghi nhận bất kỳ các cuộc tấn công nào nhắm tới khai thác lỗ hổng này trên thực tế, tuy nhiên người dùng và quản trị viên cần ưu tiên việc cập nhật bản vá khắc phục lỗ hổng này do tính chất nghiêm trọng của lỗ hổng cũng như hệ quả mà nó có thể gây ra là vô cùng lớn:

1. Cập nhật bản vá: Cập nhật phiên bản mới nhất cho Oracle Identity Manager và Oracle Web Services Manager. Trường hợp hệ thống của người dùng và quản trị viên sử dụng bộ Oracle Fusion Middleware sẽ được tự động áp dụng bản vá mới nhất từ hãng.

2. Hạn chế quyền truy cập mạng: Trường hợp hệ thống chưa thể triển khai bản vá mới nhất, cần thiết lập tường lửa hoặc danh sách kiểm soát truy cập để chặn các lưu lượng HTTP/HTTPS từ internet tới các cổng dịch vụ của Identity Manager nếu không thực sự cần thiết. Mặt khác, chỉ cho phép các dải IP nội bộ hoặc IP tin cậy qua VPN mới có thể truy cập vào các endpoint REST.

3. Giám sát bảo mật 24/7: Giám sát cảnh báo hệ thống, kiểm tra các log HTTP nhằm phát hiện các hành vi lạ như chèn lệnh hệ thống hoặc tải các tệp tin khai thác hệ thống thông qua các cổng dịch vụ web. Chủ động rà soát log, kiểm soát tài khoản được tạo trên hệ thống và threat hunting nội bộ nhằm đảm bảo an toàn hệ thống một cách toàn diện.

Tham khảo

• Oracle Security Alert Advisory - CVE-2026-21992

• Oracle Releases Emergency Patch for Critical Identity Manager Vulnerability