Por: Equipo de Arce Systems
Una vulnerabilidad crítica de ejecución remota de código (RCE) sin autenticación en Oracle Identity Manager (parte de Oracle Fusion Middleware), identificada como CVE-2025-61757, está siendo explotada activamente en el mundo real. Descubierta por investigadores de Searchlight Cyber (Adam Kues y Shubham Shah), esta falla permite a atacantes remotos no autenticados tomar control completo de sistemas vulnerables.
Aunque Oracle liberó un parche en su Critical Patch Update de octubre de 2025, la vulnerabilidad fue agregada al catálogo de Vulnerabilidades Explotadas Conocidas (KEV) de CISA el 21 de noviembre de 2025, con evidencia de explotación activa, posiblemente como zero-day desde finales de agosto de 2025. En diciembre de 2025, representa un riesgo alto para organizaciones que no han aplicado las actualizaciones.
¿Qué es Oracle Identity Manager?
Oracle Identity Manager es un componente clave de Oracle Fusion Middleware utilizado para la gestión de identidades y accesos (IAM) en entornos empresariales grandes, incluyendo gobiernos, finanzas y salud. Administra credenciales de usuarios, roles y autenticaciones centrales.
La vulnerabilidad afecta el componente REST WebServices, permitiendo bypass de autenticación mediante sufijos en URLs (como “;.wadl”) y acceso a endpoints privilegiados, incluyendo compilación de scripts Groovy maliciosos.
Detalles de la Vulnerabilidad (CVE-2025-61757)
- Impacto: Ejecución remota de código arbitrario sin autenticación, lo que puede llevar a toma completa del sistema (takeover).
- Puntuación CVSS: 9.8 (Crítica).
- Versiones Afectadas: Oracle Identity Manager 12.2.1.4.0 y 14.1.2.1.0.
- Condiciones para Explotación: Acceso de red vía HTTP; no requiere credenciales. Fácil de explotar con payloads específicos (ej. POST de 556 bytes a endpoints vulnerables).
- Explotación Observada: Honeypots detectaron intentos desde agosto-septiembre 2025 (antes del parche). CISA confirmó explotación activa, agregándola al KEV con plazo hasta el 12 de diciembre para agencias federales.
La falla combina un bypass de autenticación (debido a manejo incorrecto de URIs) con acceso a un endpoint de compilación Groovy que ejecuta código durante la anotación de clases.
¿Por Qué Sigue Siendo Relevante?
El parche se liberó el 21 de octubre de 2025, pero:
- Muchas organizaciones mantienen versiones legacy o no aplican parches oportunamente.
- Explotación confirmada en el wild, con escaneos masivos y ataques detectados globalmente.
- Agregada al KEV de CISA, obligando a agencias federales a parchear antes del 12 de diciembre.
- PoC públicos y análisis detallados disponibles, facilitando explotación por actores maliciosos.
Esta CVE resalta riesgos en sistemas IAM expuestos, potencialmente permitiendo movimiento lateral y compromisos mayores.
Cómo Mitigar y Protegerse
- Aplicar Parche Inmediatamente:
- Instale el Oracle Critical Patch Update de octubre 2025.
- Verifique versiones y siga guías oficiales de Oracle.
- Medidas Temporales:
- Restrinja acceso a endpoints REST de Oracle Identity Manager (use firewalls o WAF).
- Monitoree tráfico HTTP por patrones sospechosos (ej. sufijos “.wadl” o payloads Groovy).
- Detección y Mejores Prácticas:
- Use escáneres de vulnerabilidades y herramientas como NodeZero o honeypots.
- Aplique principio de menor privilegio y segmente redes IAM.
- Monitoree logs por accesos no autenticados a APIs REST.
Fuentes:
- Advisory Oficial Oracle (October 2025 CPU): https://www.oracle.com/security-alerts/cpuoct2025.html
- Análisis Técnico Searchlight Cyber: https://slcyber.io/research-center/breaking-oracles-identity-manager-pre-auth-rce/
- CISA KEV Catalog: https://www.cisa.gov/known-exploited-vulnerabilities-catalog (entrada para CVE-2025-61757)
- NVD: https://nvd.nist.gov/vuln/detail/CVE-2025-61757
No exponga servicios IAM a internet sin protección. ¡Aplique parches ya! Siga news.arcesystems.com.co para más alertas de ciberseguridad.