Η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA) προειδοποιεί τις κυβερνητικές υπηρεσίες να επιδιορθώσουν ένα Oracle Identity Manager που παρακολουθείται ως CVE-2025-61757 και το οποίο έχει εκμεταλλευτεί σε επιθέσεις, ενδεχομένως ως μηδενική ημέρα.
Το CVE-2025-61757 είναι μια ευπάθεια RCE προ-έλεγξης ταυτότητας στο Oracle Identity Manager, που ανακαλύφθηκε και αποκαλύφθηκε από τους αναλυτές της Searchlight Cyber Adam Kues και Shubham Shahflaw.
Το ελάττωμα προέρχεται από μια παράκαμψη ελέγχου ταυτότητας στα REST API του Oracle Identity Manager, όπου ένα φίλτρο ασφαλείας μπορεί να εξαπατηθεί ώστε να αντιμετωπίζει τα προστατευμένα τελικά σημεία ως δημόσια προσβάσιμα προσθέτοντας παραμέτρους όπως ?WSDL ή ;.wadl σε διαδρομές URL.
Μόλις αποκτηθεί πρόσβαση χωρίς έλεγχο ταυτότητας, οι εισβολείς μπορούν να φτάσουν σε ένα σενάριο Groovy, το οποίο είναι ένα τελικό σημείο μεταγλώττισης που συνήθως δεν εκτελεί ένα σενάριο. Ωστόσο, μπορεί να γίνει κατάχρηση για την εκτέλεση κακόβουλου κώδικα κατά το χρόνο μεταγλώττισης μέσω των δυνατοτήτων επεξεργασίας σχολιασμού του Groovy.
Αυτή η αλυσίδα ελαττωμάτων επέτρεψε στους ερευνητές να επιτύχουν την εκτέλεση απομακρυσμένου κώδικα πριν από τον έλεγχο ταυτότητας σε επηρεαζόμενες παρουσίες του Oracle Identity Manager.
Το ελάττωμα διορθώθηκε ως μέρος του Ενημερώσεις ασφαλείας Οκτωβρίου 2025 της Oracleκυκλοφόρησε στις 21 Οκτωβρίου.
Χθες, η Searchlight Cyber δημοσίευσε μια τεχνική έκθεση που περιγράφει λεπτομερώς το ελάττωμα και παρέχει όλες τις πληροφορίες που απαιτούνται για την εκμετάλλευσή του.
“Δεδομένης της πολυπλοκότητας ορισμένων προηγούμενων ευπαθειών του Oracle Access Manager, αυτό είναι κάπως ασήμαντο και εύκολα εκμεταλλεύσιμο από τους παράγοντες απειλών.” προειδοποίησαν οι ερευνητές.
CVE-2025-61757 που χρησιμοποιείται σε επιθέσεις
Σήμερα, CISA έχει προσθέσει την ευπάθεια Oracle CVE-2025-61757 σε αυτήν Γνωστά εκμεταλλευόμενα τρωτά σημεία κατάλογος (KEV) και δόθηκε στις υπηρεσίες του Ομοσπονδιακού Πολιτικού Εκτελεστικού Κλάδου (FCEB) μέχρι τις 12 Δεκεμβρίου για να επιδιορθώσουν το ελάττωμα όπως ορίζεται από τη δεσμευτική επιχειρησιακή οδηγία (BOD) 22-01.
«Αυτός ο τύπος ευπάθειας είναι ένας συχνός φορέας επίθεσης για κακόβουλους κυβερνογενείς και εγκυμονεί σημαντικούς κινδύνους για την ομοσπονδιακή επιχείρηση», προειδοποίησε η CISA.
Ενώ η CISA δεν έχει κοινοποιήσει λεπτομέρειες σχετικά με τον τρόπο εκμετάλλευσης του ελαττώματος, ο Johannes Ullrich, ο κοσμήτορας της έρευνας για το Τεχνολογικό Ινστιτούτο SANS, προειδοποίησε χθες ότι το ελάττωμα μπορεί να έχει χρησιμοποιηθεί ως μηδενική ημέρα ήδη από τις 30 Αυγούστου.
“Έγινε πρόσβαση σε αυτό το URL πολλές φορές μεταξύ 30 Αυγούστου και 9 Σεπτεμβρίου του τρέχοντος έτους, πολύ πριν η Oracle επιδιορθώσει το ζήτημα”, εξήγησε ο Ullrich σε ένα Ημερολόγιο χειριστή ISC.
“Υπάρχουν πολλές διαφορετικές διευθύνσεις IP που σαρώνονται για αυτό, αλλά όλες χρησιμοποιούν τον ίδιο παράγοντα χρήστη, κάτι που υποδηλώνει ότι μπορεί να έχουμε να κάνουμε με έναν μόνο εισβολέα.”
Σύμφωνα με τον Ullrich, οι φορείς απειλών εξέδωσαν αιτήματα HTTP POST στα ακόλουθα τελικά σημεία, τα οποία ταιριάζουν με την εκμετάλλευση που μοιράζεται η Searchlight Cyber.
/iam/governance/applicationmanagement/templates;.wadl
/iam/governance/applicationmanagement/api/v1/applications/groovyscriptstatus;.wadlΟ ερευνητής λέει ότι οι προσπάθειες προήλθαν από τρεις διαφορετικές διευθύνσεις IP, 89.238.132[.]76, 185.245.82[.]81, 138.199.29[.]153, αλλά όλοι χρησιμοποιούσαν τον ίδιο παράγοντα χρήστη του προγράμματος περιήγησης, που αντιστοιχεί στο Google Chrome 60 στα Windows 10.
Το BleepingComputer επικοινώνησε με την Oracle για να ρωτήσει εάν έχουν εντοπίσει το ελάττωμα που χρησιμοποιείται στις επιθέσεις και θα ενημερώσει την ιστορία εάν λάβουμε απάντηση.
Είναι περίοδος προϋπολογισμού! Πάνω από 300 CISO και ηγέτες ασφάλειας έχουν μοιραστεί πώς σχεδιάζουν, ξοδεύουν και δίνουν προτεραιότητες για το επόμενο έτος. Αυτή η έκθεση συγκεντρώνει τις γνώσεις τους, επιτρέποντας στους αναγνώστες να αξιολογούν στρατηγικές, να προσδιορίζουν τις αναδυόμενες τάσεις και να συγκρίνουν τις προτεραιότητές τους καθώς πλησιάζουν το 2026.
Μάθετε πώς οι κορυφαίοι ηγέτες μετατρέπουν τις επενδύσεις σε μετρήσιμο αντίκτυπο.
VIA: bleepingcomputer.com
