Das polnische Sicherheitsunternehmen Security Explorations, das sich bereits in der Vergangenheit mit der Entdeckung verschiedener Java-Verwundbarkeiten einen Namen gemacht hat, habe sich zu der Veröffentlichung entschieden, weil die Sicherheitsexperten nicht damit zufrieden waren, wie Oracle mit den gemeldeten Fehlern umgegangen ist. Oracle äußert sich bislang nicht. Auch in dem Oracle-Sicherheits-Blog gibt es zu den berichteten Sicherheitslecks in der Oracle Java Cloud bisher keine Stellungnahme des Unternehmens.
Bereits Ende Januar hatte Security Explorations die Verwundbarkeiten an Oracle gemeldet, wie aus einer Pressemitteilung hervorgeht. Damals hatte das Unternehmen erklärt, dass von den 28 gefundenen Lecks 16 ausgenutzt werden können, um die Sicherheits-Sandbox auf einem angegriffenen WebLogic-Server vollständig zu umgehen. Auch Java API Whitelisting Rules könnten umgangen werden.
Ein Angreifer könne mit Hilfe eines gemeinsam genutzten WebLogic-Server-Admin-Passworts die Passwörter der anderen Nutzer in Klartext auslesen und damit dann bequem vom Web aus auf andere Anwendungen zugreifen, die im gleichen Rechenzentrum des Java Cloud Services gehostet werden. Es sei dadurch möglich, auf Anwendungen und Datenbanken von Nutzern des Java Cloud Services zuzugreifen hier beliebigen Java-Code auszuführen, warnen die Experten von Security Explorations.
Im Zuge der Veröffentlichung der Dokumentation der Lecks ist offenbar auch die Zahl der Verwundbarkeiten von 28 auf 30 angewachsen. Die Forscher entdeckten darüber hinaus, dass Oracle eine veraltete Version von Java SE nutzt, von der insgesamt 150 Sicherheitslecks bekannt sind. Auch hier existieren Fehler, die Code-Ausführung im Fernzugriff zulassen. Die Forscher warnen außerdem davor, dass Angriffe auch über Test-Accounts möglich seien, weil Oracle diese nicht von den produktiv genutzten Services trennt.
“Die Natur der Schwachstellen, die wir in Oracles Services gefunden haben, legen den Schluss nahe, dass hier im Vorfeld der Veröffentlichung keine Sicherheitstests durchgeführt wurden”, so die Sicherheitsforscher Ende Januar.
Zwei Monate nach der Meldung an Oracle legt das polnische Unternehmen noch einmal nach: “Zwei Monate nach der ersten Meldung, hat Oracle keine Informationen über die erfolgreiche Lösung der berichteten Schwachstellen in den Cloud-Datenzentren (US1 und EMEA1) vorgelegt”, heißt es auf einer Mitteilung im Rahmen der Veröffentlichung der technischen Dokumentationen der Schwachstellen.
Auch anderthalb Jahre nach der Veröffentlichung des Services, gebe Oracle offen zu, dass es nicht zusichern kann, ob es zukünftig überhaupt eine Lösung der Sicherheitsprobleme in den Cloud-Datenzentren kommunizieren könne, kritisieren die Sicherheitsforscher.
Nach wie vor arbeite Oracle an den Policies und der Sicherheit des Dienstes. Nun hoffen die Experten mit der Veröffentlichung die Sicherheit in dem Oracle-Angebot verbessern zu können. Zudem sollen Anwender, die den Service zwischen Juni 2013 und Januar 2014 in den beiden Datenzentren genutzt haben, diese Dokumentation heranziehen können, um auf Basis von unzureichender Sicherheit von Oracle Schadensersatz einzufordern. Denn immerhin sichert Oracle mit dem Java-Cloud-Service “Enterprise Security, High-Availability und Leistung für unternehmenskritische Anwendungen” zu.
Die technischen Dokumentationen zu den Lecks können hier herunter geladen werden:
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Assistenzsysteme unterstützen Monteure bei der Arbeit. Zu oft zahlt man jedoch mit den eigenen Daten…
Hersteller werden stärker in die Pflicht genommen, den gesamten Lebenszyklus ihrer Produkte in den Blick…
LLMs besitzen einerseits innovative neue Fähigkeiten, stellen Unternehmen allerdings auch vor diverse Herausforderungen: ob EU…
Server-Ausbau in den USA und China macht große Fortschritte, deutscher Weltmarktanteil sinkt. Lichtblicke in Frankfurt…
Der Markt für Workplace Services gerät in Bewegung. Das bestmögliche digitale Nutzererlebnis gilt als Schlüssel…
Schutz für 10.000 Postfächer über rund 200 Domains: Private-Stack-Variante kombiniert Vorteile einer Cloud-Lösung mit Sicherheit…