CISA potwierdza wykorzystywanie krytycznej luki w Oracle Identity Manager (CVE-2025-61757)

Wprowadzenie do problemu / definicja luki

Amerykańska agencja CISA potwierdziła aktywne ataki na krytyczną podatność w Oracle Identity Manager (OIM), dodając ją do katalogu Known Exploited Vulnerabilities (KEV). Luka CVE-2025-61757 dotyczy komponentu REST WebServices i umożliwia zdalne przejęcie OIM bez uwierzytelnienia (pre-auth RCE). Oracle załatał błąd w październikowym CPU 2025. Federalnym agencjom w USA nakazano usunięcie ryzyka do 12 grudnia 2025 r.

W skrócie

• Identyfikator: CVE-2025-61757
• Produkt / komponent: Oracle Identity Manager (Fusion Middleware), REST WebServices
• Skutki: pełne przejęcie OIM, wpływ na CIA: H/H/H, CVSS 9.8
• Wersje podatne: 12.2.1.4.0 oraz 14.1.2.1.0
• Wektor: sieć, brak uwierzytelnienia, niska złożoność ataku
• Status: potwierdzona eksploatacja; pozycja w CISA KEV; poprawka w CPU October 2025.

Kontekst / historia / powiązania

OIM to centralny element ładu tożsamości w wielu organizacjach (prowizjonowanie, recertyfikacje, role). Po publikacji analizy technicznej przez Searchlight Cyber SANS ISC zauważył w logach skany i próby ataków z końca sierpnia–początku września 2025, co sugeruje wcześniejsze zainteresowanie podatnością. CISA po weryfikacji dodała CVE do KEV, co oznacza wiarygodne dowody na wykorzystanie w warunkach rzeczywistych.

Analiza techniczna / szczegóły luki

Zgodnie z macierzą ryzyka Oracle, problem dotyczy braku wymuszenia uwierzytelnienia dla krytycznej funkcji w interfejsie REST WebServices OIM. Atakujący z dostępem sieciowym do OIM może bez logowania wywołać endpointy prowadzące do zdalnego wykonania kodu i pełnego przejęcia instancji OIM. Parametry CVSS: 9.8 / AV:N / AC:L / PR:N / UI:N / S:U / C:H / I:H / A:H.

Zakres dotkniętych wersji: Oracle potwierdza wpływ na 12.2.1.4.0 oraz 14.1.2.1.0. To właśnie te gałęzie są powszechnie wdrażane on-prem i w środowiskach hybrydowych, co zwiększa powierzchnię ataku.

Praktyczne konsekwencje / ryzyko

• Przejęcie IGA/IAM: kompromitacja OIM = możliwość zmiany uprawnień, kreacji kont z wysokimi rolami, manipulacji procesami aprobat.
• Lateral movement: z OIM atakujący może uzyskać dostęp do systemów zależnych (ERP/HR/AD/SSO) i danych wrażliwych.
• Trwałość i ukrywanie śladów: tworzenie kont serwisowych, modyfikacja workflow i reguł recertyfikacji.
• Ryzyko łańcucha dostaw: organizacje integrujące OIM z EBS/ERP/HRMS mogą odczuć efekt domina.
  Powyższe ryzyka są spójne z oceną NVD oraz ostrzeżeniami mediów branżowych po dodaniu luki do KEV.

Rekomendacje operacyjne / co zrobić teraz

1. Patch now: natychmiast zastosuj CPU October 2025 dla OIM. Zweryfikuj, iż instancje są na poziomie buildów adresujących CVE-2025-61757.
2. Tymczasowe ograniczenie ekspozycji: jeżeli patchowanie wymaga okna serwisowego, odetnij REST WebServices OIM od internetu (WAF/NGFW/segregacja), dopuszczając wyłącznie zaufane źródła (allow-list).
3. Hunting i detekcja (ostatnie 90 dni):
   • logi HTTP/Proxy/WAF: nietypowe wywołania endpointów OIM REST bez nagłówków autoryzacji; wzrost 4xx/5xx; nietypowe metody.
   • OIM/DB: tworzenie kont/zasobów poza standardowymi workflow; zmiany ról o wysokich uprawnieniach; modyfikacje polityk.
   • Sieć: nagłe połączenia OIM → systemy downstream (AD/LDAP/ERP) z nowych adresów.
     Wskazówki co do okresu i charakteru aktywności potwierdzają obserwacje SANS ISC.
4. Hardening: wymuś mTLS/WAF, włącz rate limiting dla REST, ogranicz do minimum role techniczne OIM używane przez integracje.
5. IR gotowość: przygotuj playbook „OIM compromise”: izolacja węzła, rotacja tajemnic (DB, LDAP, integracje), przegląd i czyszczenie zmian w rolach/workflow.
6. Compliance: sprawdź wpływ na procesy audytowe (recertyfikacje dostępów) — potencjalnie wymagane re-cert po incydencie.

Uwaga dla administracji publicznej USA: o ile podlegasz dyrektywom CISA, termin remediacji to 12 grudnia 2025 r. (dla FCEB). Traktuj to jako silną wskazówkę priorytetyzacji również w sektorze prywatnym.

Różnice / porównania z innymi przypadkami

W ostatnich miesiącach widzieliśmy falę nadużyć błędów w oprogramowaniu Oracle (m.in. E-Business Suite), ale CVE-2025-61757 jest szczególnie groźna, bo dotyka warstwy tożsamości. W przeciwieństwie do typowych RCE w usługach peryferyjnych, tutaj atak przekłada się bezpośrednio na eskalację uprawnień w całym ekosystemie. To odróżnia OIM od incydentów skupionych wyłącznie na eksfiltracji danych aplikacyjnych.

Podsumowanie / najważniejsze wnioski

• To jest „drop-everything patch”. Pre-auth RCE w OIM (CVSS 9.8) jest już aktywnie wykorzystywany.
• Zasięg: wersje 12.2.1.4.0 i 14.1.2.1.0; komponent REST WebServices.
• Terminy: dla podmiotów objętych dyrektywami CISA — 12.12.2025 na remediację.
• Operacyjnie: łatka + ograniczenie ekspozycji + polowanie na oznaki nadużyć + twarde kontrole integracji.

Źródła / bibliografia

1. SecurityWeek — CISA Confirms Exploitation of Recent Oracle Identity Manager Vulnerability (24 listopada 2025). Źródło potwierdzenia KEV i terminu remediacji. (SecurityWeek)
2. Oracle — Critical Patch Update Advisory — October 2025 (macierz ryzyka; komponent, wersje, CVSS). (Oracle)
3. NVD (NIST) — CVE-2025-61757 (opis skutków, „easily exploitable”, przejęcie OIM). (NVD)
4. SANS ISC Diary — Oracle Identity Manager Exploit Observation from September (CVE-2025-61757) (wczesne obserwacje skanów/prób). (SANS Internet Storm Center)
5. Dark Reading — Critical Flaw in Oracle Identity Manager Under Exploitation (szerszy kontekst ostatnich kampanii wobec ekosystemu Oracle). (Dark Reading)