Sursa: dnsc.ro
Cercetătorii în domeniul securității cibernetice au descoperit o nouă vulnerabilitate, identificată drept CVE-2025-61757. Este vorba despre o vulnerabilitate critică, evaluată cu un scor CVSS foarte ridicat de 9.8 (Critic), identificată în Oracle Identity Manager, care permite unui atacator neautentificat să realizeze Remote Code Execution (RCE) pe serverele afectate.
Vulnerabilitatea este relativ ușor de exploatat și a fost adăugată în catalogul CISA de vulnerabilități “Known Exploited Vulnerabilities” ca urmare a dovezilor de exploatare activă. Dacă nu sunt aplicate remedierile, un atacator ar putea prelua controlul asupra unui server Identity Manager și, de acolo, să efectueze mișcări laterale către alte sisteme din rețeaua internă.
DETALII TEHNICE
Vulnerabilitatea este cauzată de un bypass la mecanismul de autentificare, prin care anumite endpoint-uri REST pot fi accesate fără log-in, din cauza verificărilor efectuate incorect de către filtrul de securitate. După acest bypass, atacatorul poate apela un endpoint intern folosit pentru verificarea/compilarea script-urilor Groovy care, deși nu execută script-uri direct, permite rularea de cod în timpul procesului de compilare, ducând la Remote Code Execution.
Odată exploatată, vulnerabilitatea permite manipularea mecanismelor interne de gestionare a conturilor, oferind atacatorului acces extins la operațiuni cu drepturi de administrator și posibilitatea de a modifica sau crea conturi noi în sistem.
PRODUSE ȘI VERSIUNI AFECTATE
- Produs: Oracle Identity Manager (parte din Oracle Fusion Middleware / Identity Governance Suite).
- Versiuni identificate ca fiind vulnerabile: 2.1.4.0 și 14.1.2.1.0.
RECOMANDĂRI GENERALE
- Dacă folosiți Oracle Identity Manager în versiunile afectate, instalați imediat update-urile oficiale furnizate prin intermediul Oracle “Critical Patch Update”.
- Dacă update-ul nu se poate face imediat, este importantă izolarea instanțelor Identity Manager de accesul la internet sau aplicarea unei soluții de tip Web Application Firewall (WAF) care să blocheze accesul la endpoint-urile interne vulnerabile.
- Monitorizați log-urile web pentru cereri către endpoint-ul /iam/governance/applicationmanagement/api/v1/applications/groovyscriptstatus și pentru orice solicitări care includ ?WSDL sau ;.wadl la finalul URI-urilor.
CONCLUZII
CVE-2025-61757 reprezintă una dintre vulnerabilitățile critice din Oracle Identity Manager, combinând un bypass de autentificare cu posibilitatea de Remote Code Execution fără a fi necesare privilegii în prealabil.
Exploatarea sa activă și natura atacului o transformă într-o amenințare majoră pentru orice organizație care folosește acest produs. Aplicarea imediată a update-urilor Oracle, izolarea temporară a serviciilor expuse și monitorizarea traficului către endpoint-urile vulnerabile sunt esențiale pentru reducerea riscului. În lipsa acestor măsuri, sistemele pot deveni un punct de acces pentru compromiterea altor componente critice ale infrastructurii.
