# CVE-2012-3152 > [!low] Acesso Não Autorizado no Oracle Reports - Explorado pelo Volatile Cedar > Vulnerabilidade que permite acesso não autorizado a arquivos e dados no Oracle Reports (componente do Oracle Fusion Middleware), explorada pelo grupo de espionagem **Volatile Cedar**, um APT libanês documentado com operações de longa duração. ## Visão Geral A [[cve-2012-3152|CVE-2012-3152]] é uma vulnerabilidade no componente Oracle Reports do Oracle Fusion Middleware que permite a um atacante não autenticado acessar, criar ou modificar dados confidenciais através de acesso HTTP. A falha pode ser explorada remotamente sem credenciais para leitura de arquivos no servidor e possível acesso a dados de aplicações Oracle. O grupo [[g0123-volatile-cedar|Volatile Cedar]], também conhecido como Lebanese Cedar, é um APT documentado pelo Check Point Research e Clearsky, com atividade desde pelo menos 2012. O grupo tem foco em espionagem de longo prazo, mantendo presença persistente por anos em organizações-alvo. Volatile Cedar explorou vulnerabilidades em aplicações web acessíveis pela internet — incluindo esta CVE — como vetores de acesso inicial em campanhas de espionagem contra setores de defesa, telecomúnicações e governo. Embora a severidade base (6.4) não seja crítica, a exploração em contexto de espionagem prolongada e o foco em aplicações Oracle corporativas tornam esta CVE relevante para organizações que mantêm infraestrutura Oracle Fusion Middleware em produção. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | Produto | Oracle Reports (Oracle Fusion Middleware) | | Tipo | Acesso Não Autorizado (leitura/escrita de dados) | | Vetor | HTTP sem autenticação | | Versões | 11.1.1.6 a 11.1.2.4 | | Exploração | Volatile Cedar (espionagem) | | CVSS Base | 6.4 | ## Perfil: Volatile Cedar O [[g0123-volatile-cedar|Volatile Cedar]] é notável por: - **Origem**: Atribuído a atores ligados ao Hezbollah / Líbano - **Persistência**: Média de operação de 2-4 anos em cada organização comprometida - **TTPs**: Webshells personalizadas, exploração de aplicações web públicas - **Alvos**: Defesa, telecomúnicações, governo, educação - **Alcance**: Operações documentadas no Oriente Médio, EUA, Europa e Ásia ## TTPs Relacionados - [[t1190-exploit-public-facing-application|T1190]] - Exploração de Aplicação Pública - [[t1505-003-web-shell|T1505.003]] - Web Shell - [[t1078-valid-accounts|T1078]] - Contas Válidas - [[t1083-file-and-directory-discovery|T1083]] - Descoberta de Arquivos e Diretórios ## Mitigação - Aplicar Oracle Critical Patch Update (outubro 2012) para versões afetadas - Implementar autenticação na interface de gerenciamento do Oracle Reports - Restringir acesso ao Oracle Fusion Middleware por rede/firewall - Auditar logs de acesso HTTP ao servidor Oracle Reports por requisições anômalas > [!latam] Relevância para Brasil e LATAM > O Oracle Fusion Middleware e Oracle Reports são utilizados em sistemas ERP e de BI em grandes corporações e órgãos governamentais brasileiros. Grupos de espionagem focam em infraestrutura Oracle como alvo de alto valor dado o volume de dados corporativos e governamentais processados. Organizações com Oracle Reports acessível via internet devem auditar exposição e verificar se o patch foi aplicado. ## Referências - [Check Point - Volatile Cedar research](https://research.checkpoint.com/2015/volatile-cedar/) - [Oracle Critical Patch Update October 2012](https://www.oracle.com/security-alerts/cpuoct2012.html) - [NVD - CVE-2012-3152](https://nvd.nist.gov/vuln/detail/CVE-2012-3152)