La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó el viernes una vulnerabilidad crítica que afecta a Oracle Identity Manager a su catálogo de vulnerabilidades explotadas conocidas (KEV), citando evidencia de explotación activa.
La vulnerabilidad en cuestión es CVE-2025-61757 (puntuación CVSS: 9,8), un caso de falta de autenticación para una función crítica que podría conducir a la ejecución remota de código previamente autenticado. La vulnerabilidad afecta a las versiones 12.2.1.4.0 y 14.1.2.1.0. Oracle abordó el problema como parte de las actualizaciones trimestrales publicadas el mes pasado.
“Oracle Fusion Middleware contiene una autenticación faltante para una vulnerabilidad funcional crítica que permite a atacantes remotos no autenticados hacerse cargo de Identity Manager”, dijo CISA.
Los investigadores cibernéticos de Searchlight Adam Kues y Shubham Shah, quienes descubrieron la falla, dijeron que podría permitir a un atacante acceder a puntos finales API, lo que a su vez podría permitirles “manipular flujos de autenticación, escalar privilegios y moverse lateralmente a través de los sistemas centrales de una organización”.
Específicamente, se debe a que se pasa por alto un filtro de seguridad que hace que los puntos finales protegidos los traten como accesibles públicamente simplemente agregando “?WSDL” o “;.wadl” a cualquier URI. Esto, a su vez, es el resultado de un mecanismo de lista de permitidos roto que se basa en expresiones regulares o coincidencias de cadenas con el URI de solicitud.
“Este sistema es muy propenso a errores y, por lo general, hay formas de engañar a estos filtros para que piensen que estamos accediendo a una ruta no autenticada cuando no es así”, señalaron los investigadores.
Luego, la omisión de autenticación se puede combinar con una solicitud al punto final /iam/governance/applicationmanagement/api/v1/applications/groovyscriptstatus para lograr la ejecución remota de código mediante el envío de un HTTP POST especialmente diseñado. Aunque el punto final solo está destinado a verificar la sintaxis del código Groovy y no a ejecutarlo, Searchlight Cyber dice que pudo “escribir una anotación Groovy que se ejecuta en tiempo de compilación incluso si el código compilado no se ejecuta realmente”.
La incorporación de CVE-2025-61757 al catálogo KEV se produce días después de que Johannes B. Ullrich, decano de investigación del Instituto de Tecnología SANS, dijera que un análisis de los registros de honeypot reveló múltiples intentos de acceder a la URL a través de solicitudes HTTP POST entre el 30 de agosto y el 9 de septiembre de 2025 “/iam/governance/applicationmanagement/api/v1/applications/groovyscriptstatus;.wadl”.
“Hay varias direcciones IP diferentes buscándolo, pero todas usan el mismo agente de usuario, lo que sugiere que puede ser un solo atacante”, dijo Ullrich. “Desafortunadamente, no capturamos los cuerpos de estas solicitudes, pero todas eran solicitudes POST. El encabezado Content-Length indicó una carga útil de 556 bytes”.
Esto indica que la vulnerabilidad puede haber sido explotada como una vulnerabilidad de día cero mucho antes de que Oracle lanzara un parche. Las direcciones IP desde las que se originaron los intentos se enumeran a continuación:
- 89.238.132(.)76
- 185,245,82(.)81
- 138.199.29(.)153
Dada la explotación activa, las autoridades del Poder Ejecutivo Civil Federal (FCEB) deben aplicar los parches necesarios para proteger sus redes antes del 12 de diciembre de 2025.
About The Author
