La Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) el viernes adicional una falla de seguridad crítica que afecta a Oracle Identity Manager y sus vulnerabilidades conocidas explotadas ( KEV ), en el que se citan pruebas de explotación activa.
La vulnerabilidad en cuestión es la CVE-2025-61757 (puntuación CVSS: 9,8), un caso de falta de autenticación para una función crítica que puede provocar la ejecución remota de código previamente autenticado. La vulnerabilidad afecta a las versiones 12.2.1.4.0 y 14.1.2.1.0. Lo era dirigido de Oracle como parte de sus actualizaciones trimestrales publicadas el mes pasado.
«Oracle Fusion Middleware contiene una autenticación faltante para una vulnerabilidad de función crítica, lo que permite a los atacantes remotos no autenticados hacerse cargo de Identity Manager», afirma CISA.
Adam Kues y Shubham Shah, investigadores de Searchlight Cyber, quienes descubierto La falla decía que puede permitir a un atacante acceder a los puntos finales de la API, lo que, a su vez, le permite «manipular los flujos de autenticación, aumentar los privilegios y moverse lateralmente a través de los sistemas principales de una organización».
Concretamente, se debe a la omisión de un filtro de seguridad que engaña a los puntos finales protegidos para que se consideren de acceso público simplemente añadiendo «? WSDL» o «; .wadl» a cualquier URI. Esto, a su vez, es el resultado de un mecanismo de listas permitidas defectuoso basado en expresiones regulares o en la coincidencia de cadenas con el URI de la solicitud.
«Este sistema es muy propenso a errores y, por lo general, hay formas de engañar a estos filtros para que piensen que estamos accediendo a una ruta no autenticada cuando no lo estamos», anotaron los investigadores.
La omisión de autenticación se puede combinar entonces con una solicitud al punto final «/iam/governance/applicationmanagement/api/v1/applications/groovyscriptstatus» para lograr la ejecución remota del código mediante el envío de un HTTP POST especialmente diseñado. Aunque el punto final solo está diseñado para comprobar la sintaxis del código de Groovy y no para ejecutarlo, Searchlight Cyber dijo que podía «escribir una anotación de Groovy que se ejecuta en tiempo de compilación, aunque el código compilado no se esté ejecutando realmente».
La incorporación del CVE-2025-61757 al catálogo de KEV se produce días después de que Johannes B. Ullrich, decano de investigación del Instituto de Tecnología SANS, dijera que un análisis de los registros de honeypot reveló varios intentos de acceder a la URL «/iam/governance/applicationmanagement/api/v1/applications/groovyscriptstatus; .wadl» mediante solicitudes HTTP POST entre el 30 de agosto y el 9 de septiembre de 2025.
«Hay varias direcciones IP diferentes que lo buscan, pero todas utilizan el mismo agente de usuario, lo que sugiere que podemos estar ante un solo atacante», dijo Ullrich dijo . «Lamentablemente, no capturamos los cuerpos para estas solicitudes, pero todas eran solicitudes del POST. La longitud del encabezado indicaba una carga útil de 556 bytes».
Esto indica que es posible que la vulnerabilidad se haya explotado como una vulnerabilidad de día cero, mucho antes de que Oracle enviara un parche. Las direcciones IP desde las que se originaron los intentos se enumeran a continuación:
- 89.238.132 [.] 76
- 185,24,82 [.] 81
- 138,199,29 [.] 153
A la luz de la explotación activa, las agencias del Poder Ejecutivo Civil Federal (FCEB) deben aplicar los parches necesarios antes del 12 de diciembre de 2025 para proteger sus redes.