Wprowadzenie do problemu / definicja luki
CISA dodała do katalogu Known Exploited Vulnerabilities (KEV) krytyczną lukę CVE-2025-61757 w Oracle Identity Manager (OIM) — komponent Oracle Fusion Middleware. Luka ma CVSS 9.8 i umożliwia pre-auth RCE (zdalne wykonanie kodu bez uwierzytelnienia) w wersjach 12.2.1.4.0 i 14.1.2.1.0. Oracle załatał problem w Critical Patch Update z 21 października 2025 r., lecz według CISA luka jest już aktywnie wykorzystywana.
W skrócie
- Co: CVE-2025-61757 — brak uwierzytelniania dla krytycznej funkcji w OIM (CWE-306) → pre-auth RCE.
- Kogo dotyczy: OIM 12.2.1.4.0 i 14.1.2.1.0 (REST WebServices).
- Status: aktywne exploity; CISA wpisała do KEV 21 listopada 2025 r.; termin na patch dla FCEB do 12 grudnia 2025 r.
- Jak działa atak: ominięcie filtra bezpieczeństwa i potraktowanie chronionych endpointów jako publicznych przez dopisanie
?WSDLlub;.wadldo URI; następnie POST do endpointu sprawdzania skryptów Groovy prowadzi do RCE. - Dowody nadużyć: obserwacje SANS ISC z logów honeypotów między 30 sierpnia a 9 września 2025 r. (wzorzec
groovyscriptstatus;.wadl, 556-bajtowy payload, spójny user-agent, 3 adresy IP).
Kontekst / historia / powiązania
Oracle ujawnił i załatał CVE-2025-61757 w CPU October 2025; mapowanie CVE→doradztwo potwierdza przynależność luki do tego CPU. Kilka tygodni później CISA odnotowała aktywną eksploatację i dodała wpis do KEV, co w praktyce oznacza podniesienie priorytetu patchowania do najwyższego. Niezależnie, badacze Searchlight Cyber opisali wewnętrzną anatomię błędu oraz to, jak filtry oparte o regex/matching można zwieść dopisaniem sufiksów WSDL/WADL.
Analiza techniczna / szczegóły luki
- Klasa problemu: CWE-306 – Missing Authentication for Critical Function: produkt nie wymusza uwierzytelniania przy wywołaniu funkcji wymagającej zaufanej tożsamości. W OIM błąd siedzi w REST WebServices.
- Mechanizm obejścia: wadliwy allow-list/filtr URI pozwala, by chronione endpointy były rozpoznane jako publiczne po dopięciu
?WSDLlub;.wadldo dowolnego URI. To typowy „edge case” parsowania ścieżek/parametrów. - Od R/W do RCE: po obejściu uwierzytelniania atakujący wysyła specjalnie przygotowany POST do
/iam/governance/applicationmanagement/api/v1/applications/groovyscriptstatus. Choć endpoint służy tylko do sprawdzania składni Groovy, badacze pokazali, że adnotacja Groovy może wykonać się na etapie kompilacji, co skutkuje RCE. - Wersje i ocena ryzyka: dotyczy 12.2.1.4.0 i 14.1.2.1.0; CVSS 9.8 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H).
Praktyczne konsekwencje / ryzyko
- Przejęcie OIM = pełny dostęp do procesów zarządzania tożsamościami, przepływów aprowizacji, konektorów do systemów krytycznych.
- Ruch boczny & eskalacja uprawnień: manipulacja przepływami uwierzytelniania i aprowizacji → dostęp do kont i zasobów zależnych.
- Ataki łańcuchowe: OIM bywa centralnym punktem SSO/IGA — kompromitacja zwiększa blast radius.
- Dowody aktywności: ruch skanujący i próby POST na URI z sufiksem
; .wadlprzed wydaniem patcha sugerują wykorzystanie jako zero-day.
Rekomendacje operacyjne / co zrobić teraz
1) Patch natychmiast
- Zastosuj CPU October 2025 dla OIM; zweryfikuj, że instancje 12.2.1.4.0 / 14.1.2.1.0 są zaktualizowane. Jeżeli nie możesz patchować „od ręki”, rozważ odseparowanie (segregacja sieci, VPN, allow-list IP, WAF) i czasowe wyłączenie REST WebServices, jeśli to możliwe.
2) Detekcja i triage incydentu
- Przeskanuj logi reverse proxy/WAF/app servera pod kątem
?WSDLi; .wadlw URI, zwłaszcza ścieżek zaczynających się od/iam/governance/applicationmanagement/…. - Szukaj POST do
.../groovyscriptstatusoraz nietypowej wielkości payloadu ~556 bajtów i user-agenta Chrome/60.0.3112.113. - Zweryfikuj ruch z/do adresów IP wskazanych przez SANS ISC: 89.238.132[.]76, 185.245.82[.]81, 138.199.29[.]153 (potencjalne IOC z września 2025).
Przykładowe wzorce (do adaptacji pod własne SIEM/WAF):
- Regex URI (HTTP logs):
(?i)(\\?|;)\\.?wadl($|[&])|\\?WSDL($|[&]) - Sigma (pseudoklucze):
selection: uri|contains_any: ['?WSDL', ';.wadl'] and http.method: 'POST' and uri|contains: '/groovyscriptstatus'
3) Twardnienie i monitoring
- WAF: blokuj żądania zawierające
; .wadllub?WSDLkierowane do aplikacji OIM (czasowo — do aktualizacji). - Zaimplementuj deny-by-default dla management/diagnostic endpoints i egzekwuj mTLS dla API administracyjnych.
- Włącz dodatkowe logowanie dla kompilacji/wykonania Groovy po stronie serwera aplikacyjnego (jeśli występuje).
4) Zgodność z wymogami CISA (jeśli dotyczy)
- Jednostki FCEB: spełnij termin 12 grudnia 2025 r. z BOD 22-01 dla pozycji KEV.
Różnice / porównania z innymi przypadkami
Ataki wykorzystujące artefakty WSDL/WADL do obejścia kontroli dostępu nie są nowe — to warianty błędów w filtrach path/extension-based. W CVE-2025-61757 newralgiczne jest to, że wystarczy modyfikator w URI, by endpoint „udawał” publiczny, a następnie specyficzny endpoint Groovy daje RCE na etapie kompilacji — to rzadkie, ale bardzo niebezpieczne połączenie. Opis Searchlight Cyber szczegółowo pokazuje, jak taka „droga na skróty” w allow-liście sprowadza pełne przejęcie.
Podsumowanie / kluczowe wnioski
- Luka CVE-2025-61757 w OIM jest poważna (CVSS 9.8), łatwa w nadużyciu i aktywnie wykorzystywana — traktuj ją jak incydent do natychmiastowej reakcji.
- Nie czekaj na „okno serwisowe”: patch, segmentacja, WAF-owe reguły i łowy na IOCs już teraz.
- Przejrzyj procesy IGA/SSO, bo kompromitacja OIM ma efekt domina w ekosystemie tożsamości.
Źródła / bibliografia
- CISA — alert o dodaniu do KEV i terminach łatania (21.11.2025). (CISA)
- Oracle — CPU October 2025 (opis luki + wersje) oraz mapowanie CVE→doradztwo. (oracle.com)
- Searchlight Cyber — analiza techniczna, vektory
?WSDL/; .wadl, RCE przez Groovy. (Searchlight Cyber) - SANS ISC — obserwacje prób exploitacji (08.30–09.09.2025), IOCs i charakterystyka ruchu. (SANS Internet Storm Center)
- The Hacker News — przegląd najważniejszych faktów i statusu „aktywnie wykorzystywana”. (The Hacker News)