Amerykańska agencja CISA włączyła niedawno do swojej bazy „Known Exploited Vulnerabilities” (KEV) poważny błąd w oprogramowaniu Oracle Identity Manager, oznaczony jako CVE‑2025‑61757. Luka otrzymała wysoką ocenę CVSS: 9,8, co sygnalizuje jej wyjątkowość i niesione zagrożenie. Wskazano również, iż jest już aktywnie wykorzystywana.
Na czym polega podatność
Błąd w oprogramowaniu dotyczy wersji 12.2.1.4.0 i 14.1.2.1.0 produktu Oracle. Jego sedno to „brak uwierzytelnienia dla krytycznej funkcji”, co umożliwia zdalne wykonanie kodu (RCE – Remote Code Execution) zanim użytkownik zostanie uwierzytelniony.
Badacze z Searchlight Cyber wykryli, iż atakujący może wykorzystać endpoint API w module zarządzania aplikacjami („/iam/governance/applicationmanagement/ api/v1/applications/groovyscriptstatus”). Mechanizm pozwala na obejście filtrowania/zezwalania („allow-list”) opartego na wyrażeniach regularnych lub dopasowaniu ciągów, dzięki czemu chroniony zasób traktowany jest jak publiczny – np. poprzez dodanie „?WSDL” lub „;.wadl” do URI. W efekcie możliwe jest przesłanie specjalnie spreparowanego żądania HTTP POST, które powoduje wykonanie kodu Groovy – mimo iż endpoint formalnie służył jedynie do sprawdzania składni.
Dane z honeypotów wskazują, iż próby eksploatacji tej luki pojawiały się w okresie od 30 sierpnia do 9 września 2025 roku. Obserwowano różne adresy IP kierujące żądania POST na wspomniany endpoint, przy użyciu tej samej wartości user-agenta – co sugeruje działanie jednego grupowania atakującego lub zautomatyzowanego narzędzia. Fakt, iż zaobserwowano ruch, zanim dostępna była poprawka, wskazuje na to, iż mógł być to zero-day wykorzystany w praktyce.
Co to oznacza dla sektora IT i cyberbezpieczeństwa
Z perspektywy bezpieczeństwa korporacyjnego i operacyjnego warto zwrócić uwagę na kilka konsekwencji:
- Organizacje używające Oracle Identity Manager powinny natychmiast zweryfikować, czy stosowana wersja znajduje się w gronie podatnych (12.2.1.4.0 lub 14.1.2.1.0).
- Należy sprawdzić, czy poprawki zostały wdrożone i czy endpointy API są monitorowane pod kątem niestandardowego ruchu (zwłaszcza POST-ów kierowanych do nietypowych URI z „.wadl” lub „?WSDL”).
- Warto analizować logi i ruchy sieciowe pod kątem wcześniejszych prób wykorzystania tej luki – mogą istnieć oznaki wcześniejszej obecności atakującego lub ruchu bocznego (lateral movement).
- Zabezpieczenie systemu to nie tylko instalacja poprawki – istotna jest też konfiguracja, filtrowanie ruchu sieciowego, ograniczanie uprawnień oraz izolacja krytycznych systemów.
Wnioski i rekomendacje
W związku z tym CISA wymaga, by agencje federalne (Federal Civilian Executive Branch – FCEB) zastosowały odpowiednie poprawki do 12 grudnia 2025 roku. Dla organizacji spoza ram federalnych stanowi to mocny sygnał – luka została oficjalnie uznana za podatność wysokiego priorytetu. Producent (Oracle Corporation) w ramach kwartalnych poprawek opublikował aktualizacje, które adresują tę słabość.
Luka CVE-2025-61757 pokazuje, iż choćby dobrze znane środowiska (jak Oracle Identity Manager) mogą kryć poważne wady. Dla profesjonalistów cyberbezpieczeństwa stanowi to przypomnienie, iż oprócz rutynowego patchowania potrzebne są mechanizmy wczesnego ostrzegania, monitoringu i reakcji.
Kluczowe jest szybkie wdrożenie poprawek, ale jeszcze ważniejsze jest zrozumienie, iż ataki mogą być agresywne, ukierunkowane i rozwinięte. Zapewnienie ochrony wymaga holistycznego podejścia – uwzględniającego technologię, procesy i ludzi.
