Chi tiết lỗ hổng: Lỗ hổng, được theo dõi với mã CVE-2024-20953, là một lỗ hổng deserialization nghiêm trọng với điểm số CVSS là 8.8. Nó cho phép kẻ tấn công có quyền hạn thấp thi hành mã tùy ý qua các yêu cầu HTTP, dẫn đến việc xâm phạm toàn bộ hệ thống.
Tác động: Lỗ hổng này cho phép kẻ tấn công không xác thực xâm nhập vào các hệ thống doanh nghiệp, đánh cắp dữ liệu nhạy cảm, làm gián đoạn hoạt động của chuỗi cung ứng quan trọng và có khả năng phá hoại dây chuyền sản xuất hoặc rò rỉ các thiết kế độc quyền.
Biện pháp giảm thiểu và ứng phó: Oracle đã phát hành các bản vá cho lỗ hổng này trong Cập nhật Bản vá quan trọng tháng 1 năm 2024, khuyến nghị khách hàng nâng cấp lên phiên bản 9.3.7 hoặc mới hơn. CISA yêu cầu các cơ quan liên bang thực hiện các bản cập nhật này ngay lập tức, trong khi các tổ chức tư nhân được khuyên:
- Isolate systems Agile PLM khỏi quyền truy cập công khai trên internet.
- Áp dụng các bản vá bảo mật của Oracle và xác thực cấu hình.
- Theo dõi lưu lượng mạng cho các hoạt động HTTP bất thường nhắm vào mô-đun Export.
Khuyến cáo của CISA: Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã thêm lỗ hổng này vào danh mục Lỗ hổng đã biết đang bị khai thác (KEV) và đã ra lệnh cho các cơ quan liên bang vá lỗ hổng này trước ngày 17 tháng 3 năm 2025. Tất cả các tổ chức sử dụng Oracle Agile PLM được khuyến cáo ưu tiên biện pháp giảm thiểu.
Lỗ hổng này làm nổi bật sự cần thiết phải quản lý lỗ hổng một cách chủ động, đặc biệt là trong các hệ thống quản lý chuỗi cung ứng, nhằm ngăn chặn thiệt hại nghiêm trọng về vận hành và uy tín.
