CISA dodaje nową lukę do katalogu KEV (28 listopada 2025): krytyczne RCE w Oracle Identity Manager (CVE-2025-61757)

Wprowadzenie do problemu / definicja luki

28 listopada 2025 r. CISA dodała jedną nową pozycję do katalogu Known Exploited Vulnerabilities (KEV) po potwierdzeniu aktywnego wykorzystywania. Najświeższe doniesienia branżowe i materiały źródłowe wskazują, iż chodzi o CVE-2025-61757 – krytyczną podatność typu pre-auth RCE w Oracle Identity Manager (OIM), składniku pakietu Oracle Fusion Middleware, ocenioną na CVSS 9,8. Oracle załatał problem w ramach Critical Patch Update z 21 października 2025. CISA wyznaczyła federalnym agencjom termin remediacji do 12 grudnia 2025.

W skrócie

• Produkt: Oracle Identity Manager (OIM) – REST WebServices.
• Identyfikator: CVE-2025-61757, CVSS 9.8 (Critical).
• Natura błędu: obejście uwierzytelniania prowadzące do zdalnego wykonania kodu (RCE) bez logowania.
• Status: aktywnie wykorzystywana; dodana do CISA KEV; patch dostępny od 21.10.2025.
• Termin CISA (FCEB): do 12.12.2025 należy załatać lub wyłączyć podatne systemy.

Kontekst / historia / powiązania

Badacze Searchlight Cyber opublikowali 20 listopada 2025 r. szczegóły techniczne luki, a SANS ISC odnotował próby dostępu do charakterystycznego endpointu już pod koniec sierpnia i na początku września 2025, co sugeruje exploitation jako zero-day przed wydaniem łat. Media branżowe (CSO Online) potwierdziły dodanie do CISA KEV i podkreśliły skrócony horyzont działań dla instytucji federalnych.

Analiza techniczna / szczegóły luki

Wadliwy filtr uwierzytelniania w OIM opierał się na „białej liście” wzorców URL. Dwa wektory manipulacji ścieżką pozwalały ominąć ochronę:

1. Dodanie ?WSDL – filtr traktował trasę jako publiczną.
2. Macierzowe parametry w ścieżce, np. ;.wadl – błędny regex powodował oznaczenie chronionych zasobów jako niechronione.

Po obejściu uwierzytelniania atakujący mógł osiągnąć endpoint weryfikacji składni Groovy (/groovyscriptstatus). W praktyce kompilacja Groovy uruchamia adnotacje wykonujące kod w czasie kompilacji, co umożliwia RCE bez uwierzytelnienia. SANS ISC raportował jednolity rozmiar ładunku ~556 bajtów, powtarzalny User-Agent i ścieżki zakończone ;.wadl.

Wersje podatne: 12.2.1.4.0 i 14.1.2.1.0 (OIM / Fusion Middleware). Oracle CPU z 21.10.2025 zawiera poprawkę. NVD klasyfikuje skutki jako pełne przejęcie OIM.

Praktyczne konsekwencje / ryzyko

• Tożsamość w centrum ataku: OIM odpowiada za governance tożsamości – przejęcie oznacza ryzyko eskalacji uprawnień, zmian polityk, tworzenia/zmiany kont i pivotu w całej organizacji.
• Ekspozycja perymetru: instancje OIM ujawnione do Internetu są wysokiego ryzyka (prosty exploit URL).
• Łańcuchy ataków: obejście auth ⇒ dostęp do REST ⇒ kompilacja Groovy ⇒ RCE ⇒ implant / kradzież danych uwierzytelniających / trwałość.
• Dowody w telemetrii: charakterystyczne wzorce ;.wadl, POST ~556 B, specyficzny User-Agent i próby dotarcia do endpointu Groovy.

Rekomendacje operacyjne / co zrobić teraz

1. Patch teraz: zastosuj Oracle CPU (21.10.2025) dla OIM 12.2.1.4.0 i 14.1.2.1.0. Dla FCEB: deadline CISA 12.12.2025 (niespełnienie ⇒ odłączenie systemu).
2. Izolacja i twardnienie:
   • Czasowo zablokuj zewnętrzny dostęp do OIM (VPN/ZTNA), jeżeli patchowanie wymaga okna serwisowego.
   • WAF: blokuj wzorce z ;.wadl, ?WSDL, dostęp do /groovyscriptstatus i podobnych.
3. Detekcja i monitoring:
   • Reguły na URI z ;.wadl, POST ≈556 B, znany UA fingerprint oraz odwołania do endpointu Groovy.
   • Koreluj ruch wychodzący serwera (kompilacja Groovy może inicjować callbacki).
4. Hunting / IR:
   • Przejrzyj logi od 30.08–09.09.2025 i dalej pod kątem ww. artefaktów.
   • Waliduj integralność konfiguracji i artefaktów wdrożeniowych OIM; szukaj nietypowych adnotacji/klas w katalogach tymczasowych kompilacji.
5. Długofalowo:
   • Ograniczaj publiczną ekspozycję REST OIM.
   • Migracja z allow-list/regex na per-route authz i silniejsze bramki przed warstwą API.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

• W przeciwieństwie do wielu ostatnich pozycji KEV (np. wtyczki WordPress czy urządzenia perymetrowe), CVE-2025-61757 uderza w rdzeń zarządzania tożsamością. Skutki kompromitacji są systemowe i mogą przewyższać skutki typowych RCE w usługach pomocniczych.
• Podobnie jak w historycznych błędach filtrów Java/URL, sednem problemu jest logika dopuszczania ścieżek (regex + parametry macierzowe), co już wcześniej prowadziło do autobypassów.

Podsumowanie / najważniejsze wnioski

• CVE-2025-61757 (OIM) to krytyczna, aktywnie wykorzystywana podatność z prostym wektorem i ciężkimi skutkami (RCE).
• Patch Oracle (21.10.2025) jest dostępny – wdrożenie bez zwłoki. FCEB: termin 12.12.2025.
• Operacyjnie: blokady WAF, monitoring pod kątem ;.wadl/?WSDL, POST ~556 B, hunting logów i izolacja perymetru do czasu aktualizacji.

Źródła / bibliografia

• CSO Online – potwierdzenie dodania do KEV i terminu CISA, opis ryzyka OIM. (CSO Online)
• Oracle – Critical Patch Update Advisory – October 2025 (listuje podatne wersje OIM i dostępność poprawek). (Oracle)
• NVD (NIST) – karta CVE-2025-61757 (opis techniczny, CVSS 9.8, skutki). (nvd.nist.gov)
• SANS Internet Storm Center – obserwacje ruchu exploita (okres, UA, rozmiar ładunku, ścieżki). (SANS Internet Storm Center)
• Searchlight Cyber (research) – analiza łańcucha obejścia auth i RCE przez kompilację Groovy/adnotacje. (Searchlight Cyber)