La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó el viernes una falla de seguridad crítica que afecta a Oracle Identity Manager a su catálogo de vulnerabilidades explotadas conocidas (KEV), citando evidencia de explotación activa.
La vulnerabilidad en cuestión es CVE-2025-61757 (puntuación CVSS: 9,8), un caso de falta de autenticación para una función crítica que puede resultar en la ejecución remota de código previamente autenticado. La vulnerabilidad afecta a las versiones 12.2.1.4.0 y 14.1.2.1.0. Oracle lo abordó como parte de sus actualizaciones trimestrales publicadas el mes pasado.
«Oracle Fusion Middleware contiene una autenticación faltante para una vulnerabilidad de función crítica, lo que permite a atacantes remotos no autenticados tomar el control de Identity Manager», dijo CISA.
Los investigadores de Searchlight Cyber Adam Kues y Shubham Shah, quienes descubrieron la falla, dijeron que puede permitir que un atacante acceda a puntos finales API que, a su vez, pueden permitirle «manipular flujos de autenticación, escalar privilegios y moverse lateralmente a través de los sistemas centrales de una organización».
Específicamente, surge de omitir un filtro de seguridad que engaña a los puntos finales protegidos para que sean tratados como accesibles públicamente simplemente agregando «?WSDL» o «;.wadl» a cualquier URI. Esto, a su vez, es el resultado de un mecanismo de lista de permitidos defectuoso basado en expresiones regulares o coincidencias de cadenas con el URI de solicitud.
«Este sistema es muy propenso a errores y normalmente hay formas de engañar a estos filtros haciéndoles creer que estamos accediendo a una ruta no autenticada cuando no es así», anotaron los investigadores.
Luego, la omisión de autenticación se puede combinar con una solicitud al punto final «/iam/governance/applicationmanagement/api/v1/applications/groovyscriptstatus» para lograr la ejecución remota de código mediante el envío de un HTTP POST especialmente diseñado. Aunque el punto final solo está destinado a verificar la sintaxis del código Groovy y no ejecutarlo, Searchlight Cyber dijo que pudo «escribir una anotación Groovy que se ejecuta en tiempo de compilación, aunque el código compilado en realidad no se ejecuta».
La adición de CVE-2025-61757 al catálogo KEV se produce días después de que Johannes B. Ullrich, decano de investigación del Instituto de Tecnología SANS, dijera que un análisis de los registros de honeypot reveló varios intentos de acceder a la URL «/iam/governance/applicationmanagement/api/v1/applications/groovyscriptstatus;.wadl» a través de solicitudes HTTP POST entre el 30 de agosto y el 9 de septiembre. 2025.
«Hay varias direcciones IP diferentes escaneándola, pero todas usan el mismo agente de usuario, lo que sugiere que podemos estar tratando con un solo atacante», dijo Ullrich. «Lamentablemente, no capturamos los cuerpos de estas solicitudes, pero todas eran solicitudes POST. El encabezado de longitud del contenido indicaba una carga útil de 556 bytes».
Esto indica que la vulnerabilidad puede haber sido explotada como una vulnerabilidad de día cero, mucho antes de que Oracle enviara un parche. Las direcciones IP desde las que se originaron los intentos se enumeran a continuación:
- 89.238.132(.)76
- 185.245.82(.)81
- 138.199.29(.)153
A la luz de la explotación activa, las agencias del Poder Ejecutivo Civil Federal (FCEB) deben aplicar los parches necesarios antes del 12 de diciembre de 2025 para proteger sus redes.