Beveiligingsadvies NCSC-2025-0021 [1.00] [M/H] Kwetsbaarheden verholpen in Oracle Communications

Overzicht van Kwetsbaarheden in Oracle Communications

Oracle heeft onlangs meerdere beveiligingsproblemen geïdentificeerd en opgelost in zijn Communicatieproducten. Dit omvat producten zoals Oracle Communications Unified Assurance, Oracle Communications Cloud Native Core Network Function, en Oracle Communications Order and Service Management. Deze zwakke punten boden ongeauthenticeerde kwaadwillenden de mogelijkheid om aanvallen zoals Denial of Service (DoS) uit te voeren en ongeautoriseerde toegang tot gevoelige gegevens te krijgen.

Duiding van de Kwetsbaarheden

Risico en Impact:

  • Kans: Het risico dat kwetsbaarheden geëxploiteerd worden is als "medium" geclassificeerd.
  • Schade: De schade die veroorzaakt kan worden, zoals het verkrijgen van gevoelige informatie of verstoring van diensten, wordt als hoog ingeschat.

Technische Specificaties:
Een aantal specifieke bedreigingen zijn aan het licht gekomen, waaronder:

  • Existentie van ongecontroleerde uitzonderingen, waardoor het systeem onstabiel kan worden.
  • Onvoldoende verificatie van de integriteit van data.
  • Blootstelling van gevoelige informatie aan onbevoegde personen.
  • Buffer- en integeroverlopen die tot crashes of exploits kunnen leiden.

Bijzonder Kwetsbare Versies:

  • Versies zoals 24.2.0 en 24.3.0 van de Cloud Native Core Network Function zijn specifiek kwetsbaar. Aanvallers kunnen deze systemen aanboren door op maat gemaakte HTTP-verzoeken te verzenden naar de doelnetwerken.

Getroffen Systemen en Producten

Diverse producten en versies binnen het Oracle Communications-portfolio zijn door deze kwetsbaarheden getroffen. Hieronder vallen meerdere versies van Oracle Communications Unified Assurance en Oracle Cloud Native Core Swarms. De gedetailleerde versies en producten zijn te vinden in een uitgebreide lijst in de security advisory.

Oplossingen en Mitigaties

  • Updates: Oracle heeft patches en updates uitgebracht om deze beveiligingsproblemen aan te pakken. Gebruikers worden sterk aangeraden om deze updates zo spoedig mogelijk toe te passen.
  • Documentatie: Zie voor meer gedetailleerde documentatie en specifieke stappen de bijgevoegde referenties, zoals te vinden hier.

CVE-referenties

Deze kwetsbaarheden zijn gedocumenteerd onder vele CVE’s (Common Vulnerabilities and Exposures), die een officiële erkenning geven aan de ernst van deze beveiligingsproblemen. Enkele voorbeelden hiervan zijn:

Algemene Kennisgeving

Deze advisory is bedoeld als richtlijn om te helpen bij het beveiligen van systemen tegen bekende bedreigingen. Het NCSC heeft veel zorg besteed bij het samenstellen van deze informatie, maar kan niet instaan voor de volledigheid en juistheid van de inhoud.

Voor meer informatie of om de volledige advisory te downloaden, worden gebruikers uitgenodigd om de beschikbare downloads te raadplegen in verschillende formaten (zoals PGP, CSAF, PDF) via de security advisorypagina van NCSC.

Juridische Disclaimer

Door gebruik te maken van deze informatie verklaart de gebruiker zich akkoord met de voorwaarden zoals gesteld door het NCSC. De inhoud is bedoeld voor professionele partijen en de NCSC is niet aansprakelijk voor enige schade veroorzaakt door gebruik van de verstrekte informatie.

Voor juridische geschillen geldt het Nederlands recht en de bevoegde rechtbank te Den Haag.

Een beveiligingsadvies wordt door het NCSC gepubliceerd naar aanleiding van een recent gevonden kwetsbaarheid of geconstateerde dreiging. In een beveiligingsadvies staat de beschrijving, de mogelijke gevolgen en mogelijke oplossingen van de kwetsbaarheid of dreiging.

Mitigerende maatregel beschikbaar op advisories.ncsc.nl

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----