Vulnerabilidad en Oracle GraalVM Enterprise Edition (CVE-2022-21449)

ANÁLISIS

CVE-2022-21449 es una vulnerabilidad fácilmente explotable que permite a un atacante no autentificado con acceso a la red a través de múltiples protocolos comprometer Oracle Java SE, Oracle GraalVM Enterprise Edition. 

Un ataque exitoso a esta vulnerabilidad puede resultar en la creación no autorizada, la eliminación o el acceso a la modificación de datos críticos o todos los datos accesibles de Oracle Java SE, Oracle GraalVM Enterprise Edition.  

Nota: Esta vulnerabilidad se aplica a las implantaciones de Java, normalmente en clientes que ejecutan aplicaciones Java Web Start o applets Java con sandbox, que cargan y ejecutan código no fiable (por ejemplo, código procedente de Internet) y que dependen de la sandbox de Java para su seguridad. Esta vulnerabilidad también puede ser explotada mediante el uso de APIs en el componente especificado, por ejemplo, a través de un servicio web que suministra datos a las APIs.

Hay exploits públicos disponibles. [1]

Versiones afectadas

Oracle Java SE:
   
     - 7u331
     - 8u321
     - 11.0.14
     - 17.0.2
     - 18

Oracle GraalVM Enterprise Edition:

      - 20.3.5
      - 21.3.1
      - 22.0.0.2

RECOMENDACIONES

Oracle recomienda encarecidamente que los clientes apliquen los parches de seguridad lo antes posible.

REFERENCIAS

[1]  GitHub - khalednassar/CVE-2022-21449-TLS-PoC: CVE-2022-21449 Proof of Concept demonstrating its usage with a vulnerable client and a malicious TLS server 
CVE-2022-21449- Red Hat Customer Portal 
Oracle Critical Patch Update Advisory - April 2022