CISA cảnh báo về lỗ hổng bảo mật Zero-Day quan trọng của Oracle Identity Manager

[Starlink]

Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã thêm một lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến Oracle Identity Manager vào danh mục Lỗ hổng đã khai thác ( KEV ) và nêu bằng chứng về việc khai thác đang diễn ra.

Lỗ hổng được đề cập là CVE-2025-61757 (điểm CVSS: 9.8), một trường hợp thiếu xác thực cho một chức năng quan trọng có thể dẫn đến việc thực thi mã từ xa đã được xác thực trước. Lỗ hổng này ảnh hưởng đến các phiên bản 12.2.1.4.0 và 14.1.2.1.0. Oracle đã giải quyết lỗ hổng này trong bản cập nhật hàng quý được phát hành vào tháng trước.

CISA cho biết: "Oracle Fusion Middleware chứa lỗ hổng xác thực quan trọng, cho phép kẻ tấn công từ xa không được xác thực chiếm quyền kiểm soát Identity Manager".

Các nhà nghiên cứu Adam Kues và Shubham Shah của Searchlight Cyber, những người phát hiện ra lỗ hổng này, cho biết lỗ hổng này có thể cho phép kẻ tấn công truy cập vào các điểm cuối API, từ đó có thể cho phép chúng "thao túng luồng xác thực, nâng cao đặc quyền và di chuyển ngang qua các hệ thống cốt lõi của tổ chức".

Cụ thể, nó bắt nguồn từ việc bỏ qua bộ lọc bảo mật, đánh lừa các điểm cuối được bảo vệ để được coi là có thể truy cập công khai chỉ bằng cách thêm "?WSDL" hoặc ";.wadl" vào bất kỳ URI nào. Điều này, đến lượt nó, là kết quả của một cơ chế danh sách cho phép bị lỗi dựa trên biểu thức chính quy hoặc so khớp chuỗi với URI yêu cầu.

Các nhà nghiên cứu lưu ý rằng "Hệ thống này rất dễ xảy ra lỗi và thường có nhiều cách để đánh lừa các bộ lọc này khiến chúng ta nghĩ rằng chúng ta đang truy cập vào một tuyến đường chưa được xác thực trong khi thực tế không phải vậy".

Sau đó, việc bỏ qua xác thực có thể được kết hợp với một yêu cầu đến điểm cuối "/iam/governance/applicationmanagement/api/v1/applications/groovyscriptstatus" để thực thi mã từ xa bằng cách gửi một HTTP POST được thiết kế đặc biệt. Mặc dù điểm cuối này chỉ dùng để kiểm tra cú pháp của mã Groovy chứ không phải để thực thi nó, Searchlight Cyber cho biết họ có thể "viết một chú thích Groovy thực thi tại thời điểm biên dịch, ngay cả khi mã đã biên dịch không thực sự được chạy."

Việc bổ sung CVE-2025-61757 vào danh mục KEV diễn ra vài ngày sau khi Johannes B. Ullrich, trưởng khoa nghiên cứu tại Viện Công nghệ SANS, cho biết một phân tích nhật ký honeypot đã tiết lộ một số nỗ lực truy cập URL "/iam/governance/applicationmanagement/api/v1/applications/groovyscriptstatus;.wadl" thông qua các yêu cầu HTTP POST từ ngày 30 tháng 8 đến ngày 9 tháng 9 năm 2025.

"Có một số địa chỉ IP khác nhau đang quét tìm nó, nhưng tất cả đều sử dụng cùng một tác nhân người dùng, điều này cho thấy chúng ta có thể đang đối phó với một kẻ tấn công duy nhất", Ullrich nói. "Thật đáng tiếc, chúng tôi đã không thu thập được nội dung của các yêu cầu này, nhưng tất cả đều là yêu cầu POST. Tiêu đề độ dài nội dung cho thấy một tải trọng 556 byte."

Điều này cho thấy lỗ hổng có thể đã bị khai thác như một lỗ hổng zero-day, từ rất lâu trước khi Oracle tung ra bản vá. Các địa chỉ IP mà các nỗ lực tấn công bắt nguồn được liệt kê bên dưới:

    89.238.132[.]76
    185.245.82[.]81
    138.199.29[.]153

Trước tình trạng khai thác tràn lan, các cơ quan thuộc Chi nhánh Hành pháp Dân sự Liên bang (FCEB) được yêu cầu áp dụng các bản vá cần thiết trước ngày 12 tháng 12 năm 2025 để bảo vệ mạng lưới của họ.