La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó el viernes una error de seguridad crítica que afecta a Oracle Identity Manager a su catálogo de vulnerabilidades explotadas conocidas (KEV), citando evidencia de explotación activa.
La vulnerabilidad en cuestión es CVE-2025-61757 (puntuación CVSS: 9,8), un caso de descuido de autenticación para una función crítica que puede resultar en la ejecución remota de código previamente autenticado. La vulnerabilidad afecta a las versiones 12.2.1.4.0 y 14.1.2.1.0. Oracle lo abordó como parte de sus actualizaciones trimestrales publicadas el mes pasado.
“Oracle Fusion Middleware contiene una autenticación faltante para una vulnerabilidad de función crítica, lo que permite a atacantes remotos no autenticados tomar el control de Identity Manager”, dijo CISA.
Los investigadores de Searchlight Cyber Adam Kues y Shubham Shah, quienes descubrieron la error, dijeron que puede permitir que un atacante acceda a puntos finales API que, a su vez, pueden permitirle “manipular flujos de autenticación, progresar privilegios y moverse lateralmente a través de los sistemas centrales de una ordenamiento”.
Específicamente, surge de suprimir un filtro de seguridad que engaña a los puntos finales protegidos para que sean tratados como accesibles públicamente simplemente agregando “?WSDL” o “;.wadl” a cualquier URI. Esto, a su vez, es el resultado de un mecanismo de registro de permitidos defectuoso basado en expresiones regulares o coincidencias de cadenas con el URI de solicitud.
“Este sistema es muy propenso a errores y normalmente hay formas de engañar a estos filtros haciéndoles creer que estamos accediendo a una ruta no autenticada cuando no es así”, anotaron los investigadores.
Luego, la omisión de autenticación se puede combinar con una solicitud al punto final “/iam/governance/applicationmanagement/api/v1/applications/groovyscriptstatus” para ganar la ejecución remota de código mediante el expedición de un HTTP POST especialmente diseñado. Si acertadamente el punto final solo está destinado a corroborar la sintaxis del código Groovy y no ejecutarlo, Searchlight Cyber dijo que pudo “escribir una anotación Groovy que se ejecuta en tiempo de compilación, aunque el código compilado en verdad no se ejecuta”.
La aditamento de CVE-2025-61757 al catálogo KEV se produce días posteriormente de que Johannes B. Ullrich, decano de investigación del Instituto de Tecnología SANS, dijera que un investigación de los registros de honeypot reveló varios intentos de lograr a la URL “/iam/governance/applicationmanagement/api/v1/applications/groovyscriptstatus;.wadl” a través de solicitudes HTTP POST entre el 30 de agosto y el 9 de septiembre. 2025.
“Hay varias direcciones IP diferentes escaneándola, pero todas usan el mismo agente de usufructuario, lo que sugiere que podemos estar tratando con un solo atacante”, dijo Ullrich. “Lamentablemente, no capturamos los cuerpos de estas solicitudes, pero todas eran solicitudes POST. El encabezado de distancia del contenido indicaba una carga útil de 556 bytes”.
Esto indica que la vulnerabilidad puede sobrevenir sido explotada como una vulnerabilidad de día cero, mucho ayer de que Oracle enviara un parche. Las direcciones IP desde las que se originaron los intentos se enumeran a continuación:
- 89.238.132(.)76
- 185.245.82(.)81
- 138.199.29(.)153
A la luz de la explotación activa, las agencias del Poder Ejecutor Civil Federal (FCEB) deben aplicar los parches necesarios ayer del 12 de diciembre de 2025 para proteger sus redes.
