Americká agentura pro kybernetickou bezpečnost a zabezpečení infrastruktury (CISA) přidala kritickou bezpečnostní chybu postihující Oracle Identity Manager do svého katalogu známých zneužívaných zranitelností (KEV) s odkazem na důkazy o aktivním zneužívání.
Dotčená zranitelnost je CVE-2025-61757 (CVSS skóre: 9,8), případ chybějícího ověřování pro kritickou funkci, který může vést ke vzdálenému spuštění kódu bez předchozího ověření. Zranitelnost postihuje verze 12.2.1.4.0 a 14.1.2.1.0. Oracle ji řešil v rámci svých čtvrtletních aktualizací vydaných minulý měsíc.
„Oracle Fusion Middleware obsahuje zranitelnost chybějícího ověřování pro kritickou funkci, která umožňuje neověřeným vzdáleným útočníkům převzít kontrolu nad Identity Managerem,“ uvedla CISA.
Výzkumníci ze Searchlight Cyber Adam Kues a Shubham Shah, kteří chybu objevili, uvedli, že může útočníkovi umožnit přístup k API endpointům, které mu následně mohou dovolit „manipulovat s autentizačními toky, eskalovat oprávnění a pohybovat se laterálně napříč základními systémy organizace.“
Konkrétně vychází z obejití bezpečnostního filtru, který oklamává chráněné endpointy, aby byly považovány za veřejně přístupné, a to pouhým přidáním „?WSDL“ nebo „;.wadl“ k jakémukoli URI. To je zase výsledkem chybného mechanismu seznamu povolených položek založeného na regulárních výrazech nebo porovnávání řetězců s URI požadavku.
„Tento systém je velmi náchylný k chybám a obvykle existují způsoby, jak tyto filtry oklamat, aby si myslely, že přistupujeme k neověřené cestě, když ve skutečnosti ne,“ poznamenali výzkumníci.
Obejití ověřování pak může být spárováno s požadavkem na endpoint „/iam/governance/applicationmanagement/api/v1/applications/groovyscriptstatus“ k dosažení vzdáleného spuštění kódu odesláním speciálně vytvořeného HTTP POST. Zatímco endpoint je určen pouze pro kontrolu syntaxe kódu Groovy a ne pro jeho spuštění, Searchlight Cyber uvedl, že byl schopen „napsat anotaci Groovy, která se spustí v době kompilace, i když zkompilovaný kód není ve skutečnosti spuštěn.“
Přidání CVE-2025-61757 do katalogu KEV přichází několik dní poté, co Johannes B. Ullrich, děkan výzkumu v SANS Technology Institute, uvedl, že analýza logů honeypotu odhalila několik pokusů o přístup k URL „/iam/governance/applicationmanagement/api/v1/applications/groovyscriptstatus;.wadl“ prostřednictvím HTTP POST požadavků mezi 30. srpnem a 9. zářím 2025.
„Existuje několik různých IP adres, které to skenují, ale všechny používají stejného uživatelského agenta, což naznačuje, že se můžeme potýkat s jediným útočníkem,“ řekl Ullrich. „Bohužel jsme nezachytili těla těchto požadavků, ale všechny to byly POST požadavky. Hlavička content-length indikovala 556-bajtovou zátěž.“
To naznačuje, že zranitelnost mohla být zneužita jako zranitelnost zero-day, dlouho předtím, než Oracle vydal opravu. IP adresy, ze kterých pokusy pocházely, jsou uvedeny níže:
89.238.132[.]76
185.245.82[.]81
138.199.29[.]153
Zdroj: thehackernews.com
