CISA ostrzega: aktywnie wykorzystywana krytyczna luka zero-day w Oracle Identity Manager (CVE-2025-61757)

Wprowadzenie do problemu / definicja luki

CISA dodała do katalogu Known Exploited Vulnerabilities (KEV) krytyczną lukę CVE-2025-61757 w Oracle Identity Manager (OIM) — komponent Oracle Fusion Middleware. Luka ma CVSS 9.8 i umożliwia pre-auth RCE (zdalne wykonanie kodu bez uwierzytelnienia) w wersjach 12.2.1.4.0 i 14.1.2.1.0. Oracle załatał problem w Critical Patch Update z 21 października 2025 r., lecz według CISA luka jest już aktywnie wykorzystywana.

W skrócie

• Co: CVE-2025-61757 — brak uwierzytelniania dla krytycznej funkcji w OIM (CWE-306) → pre-auth RCE.
• Kogo dotyczy: OIM 12.2.1.4.0 i 14.1.2.1.0 (REST WebServices).
• Status: aktywne exploity; CISA wpisała do KEV 21 listopada 2025 r.; termin na patch dla FCEB do 12 grudnia 2025 r.
• Jak działa atak: ominięcie filtra bezpieczeństwa i potraktowanie chronionych endpointów jako publicznych przez dopisanie ?WSDL lub ;.wadl do URI; następnie POST do endpointu sprawdzania skryptów Groovy prowadzi do RCE.
• Dowody nadużyć: obserwacje SANS ISC z logów honeypotów między 30 sierpnia a 9 września 2025 r. (wzorzec groovyscriptstatus;.wadl, 556-bajtowy payload, spójny user-agent, 3 adresy IP).

Kontekst / historia / powiązania

Oracle ujawnił i załatał CVE-2025-61757 w CPU October 2025; mapowanie CVE→doradztwo potwierdza przynależność luki do tego CPU. Kilka tygodni później CISA odnotowała aktywną eksploatację i dodała wpis do KEV, co w praktyce oznacza podniesienie priorytetu patchowania do najwyższego. Niezależnie, badacze Searchlight Cyber opisali wewnętrzną anatomię błędu oraz to, jak filtry oparte o regex/matching można zwieść dopisaniem sufiksów WSDL/WADL.

Analiza techniczna / szczegóły luki

• Klasa problemu: CWE-306 – Missing Authentication for Critical Function: produkt nie wymusza uwierzytelniania przy wywołaniu funkcji wymagającej zaufanej tożsamości. W OIM błąd siedzi w REST WebServices.
• Mechanizm obejścia: wadliwy allow-list/filtr URI pozwala, by chronione endpointy były rozpoznane jako publiczne po dopięciu ?WSDL lub ;.wadl do dowolnego URI. To typowy „edge case” parsowania ścieżek/parametrów.
• Od R/W do RCE: po obejściu uwierzytelniania atakujący wysyła specjalnie przygotowany POST do /iam/governance/applicationmanagement/api/v1/applications/groovyscriptstatus. Choć endpoint służy tylko do sprawdzania składni Groovy, badacze pokazali, że adnotacja Groovy może wykonać się na etapie kompilacji, co skutkuje RCE.
• Wersje i ocena ryzyka: dotyczy 12.2.1.4.0 i 14.1.2.1.0; CVSS 9.8 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H).

Praktyczne konsekwencje / ryzyko

• Przejęcie OIM = pełny dostęp do procesów zarządzania tożsamościami, przepływów aprowizacji, konektorów do systemów krytycznych.
• Ruch boczny & eskalacja uprawnień: manipulacja przepływami uwierzytelniania i aprowizacji → dostęp do kont i zasobów zależnych.
• Ataki łańcuchowe: OIM bywa centralnym punktem SSO/IGA — kompromitacja zwiększa blast radius.
• Dowody aktywności: ruch skanujący i próby POST na URI z sufiksem ; .wadl przed wydaniem patcha sugerują wykorzystanie jako zero-day.

Rekomendacje operacyjne / co zrobić teraz

1) Patch natychmiast

• Zastosuj CPU October 2025 dla OIM; zweryfikuj, że instancje 12.2.1.4.0 / 14.1.2.1.0 są zaktualizowane. Jeżeli nie możesz patchować „od ręki”, rozważ odseparowanie (segregacja sieci, VPN, allow-list IP, WAF) i czasowe wyłączenie REST WebServices, jeśli to możliwe.

2) Detekcja i triage incydentu

• Przeskanuj logi reverse proxy/WAF/app servera pod kątem ?WSDL i ; .wadl w URI, zwłaszcza ścieżek zaczynających się od /iam/governance/applicationmanagement/….
• Szukaj POST do .../groovyscriptstatus oraz nietypowej wielkości payloadu ~556 bajtów i user-agenta Chrome/60.0.3112.113.
• Zweryfikuj ruch z/do adresów IP wskazanych przez SANS ISC: 89.238.132[.]76, 185.245.82[.]81, 138.199.29[.]153 (potencjalne IOC z września 2025).

Przykładowe wzorce (do adaptacji pod własne SIEM/WAF):

• Regex URI (HTTP logs): (?i)(\\?|;)\\.?wadl($|[&])|\\?WSDL($|[&])
• Sigma (pseudoklucze): selection: uri|contains_any: ['?WSDL', ';.wadl'] and http.method: 'POST' and uri|contains: '/groovyscriptstatus'

3) Twardnienie i monitoring

• WAF: blokuj żądania zawierające ; .wadl lub ?WSDL kierowane do aplikacji OIM (czasowo — do aktualizacji).
• Zaimplementuj deny-by-default dla management/diagnostic endpoints i egzekwuj mTLS dla API administracyjnych.
• Włącz dodatkowe logowanie dla kompilacji/wykonania Groovy po stronie serwera aplikacyjnego (jeśli występuje).

4) Zgodność z wymogami CISA (jeśli dotyczy)

• Jednostki FCEB: spełnij termin 12 grudnia 2025 r. z BOD 22-01 dla pozycji KEV.

Różnice / porównania z innymi przypadkami

Ataki wykorzystujące artefakty WSDL/WADL do obejścia kontroli dostępu nie są nowe — to warianty błędów w filtrach path/extension-based. W CVE-2025-61757 newralgiczne jest to, że wystarczy modyfikator w URI, by endpoint „udawał” publiczny, a następnie specyficzny endpoint Groovy daje RCE na etapie kompilacji — to rzadkie, ale bardzo niebezpieczne połączenie. Opis Searchlight Cyber szczegółowo pokazuje, jak taka „droga na skróty” w allow-liście sprowadza pełne przejęcie.

Podsumowanie / kluczowe wnioski

• Luka CVE-2025-61757 w OIM jest poważna (CVSS 9.8), łatwa w nadużyciu i aktywnie wykorzystywana — traktuj ją jak incydent do natychmiastowej reakcji.
• Nie czekaj na „okno serwisowe”: patch, segmentacja, WAF-owe reguły i łowy na IOCs już teraz.
• Przejrzyj procesy IGA/SSO, bo kompromitacja OIM ma efekt domina w ekosystemie tożsamości.

Źródła / bibliografia

1. CISA — alert o dodaniu do KEV i terminach łatania (21.11.2025). (CISA)
2. Oracle — CPU October 2025 (opis luki + wersje) oraz mapowanie CVE→doradztwo. (oracle.com)
3. Searchlight Cyber — analiza techniczna, vektory ?WSDL/; .wadl, RCE przez Groovy. (Searchlight Cyber)
4. SANS ISC — obserwacje prób exploitacji (08.30–09.09.2025), IOCs i charakterystyka ruchu. (SANS Internet Storm Center)
5. The Hacker News — przegląd najważniejszych faktów i statusu „aktywnie wykorzystywana”. (The Hacker News)