La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó el viernes una falla de seguridad crítica que afecta a Oracle Identity Manager a su catálogo de vulnerabilidades explotadas conocidas (KEV), citando evidencia de explotación activa.
La vulnerabilidad en cuestión es CVE-2025-61757 (puntuación CVSS: 9,8), lo que podría provocar la falta de autenticación para una función crítica, lo que podría conducir a la ejecución remota de código previamente autenticado. Esta vulnerabilidad afecta a las versiones 12.2.1.4.0 y 14.1.2.1.0. Oracle abordó este problema como parte de una actualización trimestral publicada el mes pasado.
«Oracle Fusion Middleware carece de autenticación para vulnerabilidades en funciones críticas que podrían permitir que un atacante remoto no autenticado se haga cargo de Identity Manager», dijo CISA.
Los investigadores de Searchlight Cyber Adam Cuse y Shubham Shah, quienes descubrieron la falla, dijeron que la vulnerabilidad podría permitir a los atacantes obtener acceso a puntos finales API, permitiéndoles «manipular flujos de autenticación, escalar privilegios y moverse lateralmente a través de los sistemas centrales de una organización».
Específicamente, esto se debe a una omisión del filtro de seguridad que engaña a los puntos finales protegidos para que los traten como accesibles públicamente simplemente agregando «?WSDL» o «;.wadl» a cualquier URI. Este es el resultado de una falla en el mecanismo de la lista de permitidos, que se basa en expresiones regulares o coincidencias de cadenas con el URI de solicitud.
«Este sistema es muy propenso a errores y normalmente hay formas de engañar a estos filtros haciéndoles creer que se está accediendo a una ruta no autenticada», anotaron los investigadores.
Luego, la omisión de autenticación se puede combinar con una solicitud al punto final «/iam/governance/applicationmanagement/api/v1/applications/groovyscriptstatus» para lograr la ejecución remota de código mediante el envío de un HTTP POST especialmente diseñado. Aunque este punto final solo está destinado a verificar la sintaxis del código Groovy y no ejecutarlo, Searchlight Cyber dice que «le permite crear anotaciones Groovy que se ejecutan en tiempo de compilación, incluso si el código compilado en realidad no se ejecuta».
CVE-2025-61757 fue agregado al catálogo KEV por Johannes B. Ullrich, director de investigación del Instituto de Tecnología SANS, basándose en un análisis de registros de honeypot que revelaron que se detectó un exploit a través de una solicitud HTTP POST entre el 30 de agosto y el 9 de septiembre. Esto se produce días después de que la compañía anunciara que se realizaron varios intentos de acceder a la URL /iam/governance/applicationmanagement/api/v1/applications/groovyscriptstatus;.wadl. 2025.
«Varias direcciones IP diferentes están realizando el escaneo, pero todas usan el mismo agente de usuario, lo que sugiere que podemos estar tratando con un solo atacante», dijo Ulrich. «Desafortunadamente, los cuerpos de estas solicitudes no fueron capturados, pero todas eran solicitudes POST. El encabezado de longitud del contenido indicaba una carga útil de 556 bytes».
Esto indica que esta vulnerabilidad podría haber sido explotada como una vulnerabilidad de día cero mucho antes de que Oracle enviara un parche. La dirección IP desde la que se origina el intento es:
89.238.132(.)76 185.245.82(.)81 138.199.29(.)153
A la luz de la explotación activa, las agencias del Poder Ejecutivo Civil Federal (FCEB) deben aplicar los parches necesarios antes del 12 de diciembre de 2025 para proteger sus redes.
Source link
