JAV kibernetinio saugumo ir infrastruktūros saugumo agentūra (CISA) įspėja vyriausybines agentūras, kad jos pataisytų „Oracle Identity Manager“, pažymėtą CVE-2025-61757, kuri buvo panaudota atakoms, galbūt kaip nulinė diena.
CVE-2025-61757 yra išankstinio autentifikavimo RCE pažeidžiamumas „Oracle Identity Manager“, kurį atrado ir atskleidė „Searchlight Cyber“ analitikai Adamas Kuesas ir Shubhamas Shahflaw.
Trūkumas kyla dėl autentifikavimo apėjimo Oracle Identity Manager REST API, kur saugos filtras gali būti apgautas, kad apsaugotų galinių taškų būtų laikomas viešai prieinamu, pridedant parametrus, pvz. ?WSDL arba ;.wadl į URL kelius.
Kai įgyjama neautentifikuota prieiga, užpuolikai gali pasiekti Groovy scenarijų, kuris yra kompiliavimo galutinis taškas, kuris paprastai nevykdo scenarijaus. Tačiau juo galima piktnaudžiauti, kai kompiliavimo metu paleidžiamas kenkėjiškas kodas, naudojant „Groovy“ anotacijų apdorojimo funkcijas.
Ši trūkumų grandinė leido tyrėjams pasiekti išankstinio autentifikavimo nuotolinio kodo vykdymą paveiktuose „Oracle Identity Manager“ egzemplioriuose.
Trūkumas buvo ištaisytas kaip „Oracle“ 2025 m. spalio mėn. saugos naujinimų dalis, išleista spalio 21 d.
Vakar „Searchlight Cyber“ išleido techninę ataskaitą, kurioje išsamiai aprašytas trūkumas ir pateikta visa reikalinga informacija.
„Atsižvelgiant į kai kurių ankstesnių „Oracle Access Manager“ pažeidžiamumų sudėtingumą, šis yra šiek tiek nereikšmingas ir lengvai jį išnaudoja grėsmės veikėjai“, – perspėjo mokslininkai.
CVE-2025-61757 išnaudotas atakose
Šiandien CISA įtraukė „Oracle“ CVE-2025-61757 pažeidžiamumą į žinomų išnaudotų pažeidžiamų vietų (KEV) katalogą ir suteikė Federalinės civilinės vykdomosios valdžios (FCEB) agentūroms iki gruodžio 12 d. pataisyti trūkumą, kaip nurodyta Įpareigojančioje veiklos direktyvoje (BOD) 22-01.
„Tokio tipo pažeidžiamumas yra dažnas kenkėjiškų kibernetinių veikėjų atakų vektorius ir kelia didelį pavojų federalinei įmonei“, – perspėjo CISA.
Nors CISA nepaskelbė išsamios informacijos apie tai, kaip buvo panaudotas trūkumas, SANS technologijų instituto tyrimų dekanas Johannesas Ullrichas vakar perspėjo, kad klaida galėjo būti panaudota kaip nulinė diena jau rugpjūčio 30 d.
„Šis URL buvo kelis kartus pasiekiamas nuo šių metų rugpjūčio 30 d. iki rugsėjo 9 d., gerokai anksčiau nei Oracle ištaisė problemą“, – paaiškino Ullrichas ISC tvarkytojo dienoraštyje.
„Yra keletas skirtingų IP adresų, kurie jį nuskaito, tačiau jie visi naudoja tą patį vartotojo agentą, o tai rodo, kad galime turėti reikalų su vienu užpuoliku.”
Ullricho teigimu, grėsmės veikėjai išsiuntė HTTP POST užklausas šiems galiiniams taškams, kurie atitinka „Searchlight Cyber“ naudojamą išnaudojimą.
/iam/governance/applicationmanagement/templates;.wadl
/iam/governance/applicationmanagement/api/v1/applications/groovyscriptstatus;.wadl
Tyrėjas teigia, kad bandymai buvo gauti iš trijų skirtingų IP adresų: 89.238.132(.)76, 185.245.82(.)81, 138.199.29(.)153, bet visi naudojo tą patį naršyklės vartotojo agentą, kuris atitinka Google Chrome 60 sistemoje Windows 10.
„BleepingComputer“ susisiekė su „Oracle“ ir paklausė, ar jie aptiko atakų metu panaudotą trūkumą, ir atnaujins istoriją, jei gausime atsakymą.
Nesvarbu, ar valote senus raktus, ar nustatote AI sukurto kodo apsauginius turėklus, šis vadovas padės jūsų komandai saugiai kurtis nuo pat pradžių.
Gaukite sukčiavimo lapą ir pašalinkite spėliones iš paslapčių valdymo.
