Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) hôm thứ Sáu đã bổ sung một lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến Oracle Identity Manager vào danh mục Known Exploited Vulnerabilities (KEV) của mình, với lý do có bằng chứng về việc khai thác tích cực.
Lỗ hổng đang được đề cập là CVE-2025-61757 (điểm CVSS: 9.8), một trường hợp thiếu xác thực cho một chức năng quan trọng có thể dẫn đến remote code execution không cần xác thực trước. Lỗ hổng này ảnh hưởng đến các phiên bản 12.2.1.4.0 và 14.1.2.1.0. Nó đã được Oracle khắc phục như một phần của các bản cập nhật hàng quý được phát hành vào tháng trước.
"Oracle Fusion Middleware chứa một lỗ hổng thiếu xác thực cho một chức năng quan trọng, cho phép những kẻ tấn công từ xa không cần xác thực chiếm quyền kiểm soát Identity Manager," CISA cho biết.
Các nhà nghiên cứu của Searchlight Cyber là Adam Kues và Shubham Shah, những người đã phát hiện lỗ hổng này, cho biết nó có thể cho phép kẻ tấn công truy cập các API endpoint, từ đó cho phép chúng "thao túng các luồng xác thực, leo thang đặc quyền và di chuyển ngang qua các hệ thống cốt lõi của tổ chức."
Cụ thể, lỗ hổng này xuất phát từ việc bypass một bộ lọc bảo mật, khiến các endpoint được bảo vệ bị hiểu nhầm là có thể truy cập công khai chỉ bằng cách thêm "?WSDL" hoặc ";.wadl" vào bất kỳ URI nào. Điều này, đến lượt nó, là kết quả của một cơ chế allow-list bị lỗi dựa trên regular expressions hoặc so khớp chuỗi đối với request URI.
"Hệ thống này rất dễ gặp lỗi, và thường có những cách để lừa các bộ lọc này nghĩ rằng chúng ta đang truy cập một tuyến đường không xác thực khi thực tế không phải vậy," các nhà nghiên cứu lưu ý.
Việc authentication bypass sau đó có thể được kết hợp với một request đến endpoint "/iam/governance/applicationmanagement/api/v1/applications/groovyscriptstatus" để đạt được remote code execution bằng cách gửi một HTTP POST được tạo thủ công đặc biệt. Mặc dù endpoint này chỉ dành cho việc kiểm tra cú pháp mã Groovy chứ không phải để thực thi nó, Searchlight Cyber cho biết họ đã có thể "viết một Groovy annotation thực thi tại thời điểm compile, mặc dù mã đã compile không thực sự được chạy."
Việc bổ sung CVE-2025-61757 vào danh mục KEV diễn ra vài ngày sau khi Johannes B. Ullrich, trưởng phòng nghiên cứu tại SANS Technology Institute, cho biết một phân tích các bản ghi honeypot đã tiết lộ nhiều nỗ lực truy cập URL "/iam/governance/applicationmanagement/api/v1/applications/groovyscriptstatus;.wadl" thông qua các HTTP POST request từ ngày 30 tháng 8 đến ngày 9 tháng 9 năm 2025.
"Có một số địa chỉ IP khác nhau đang quét lỗ hổng này, nhưng tất cả đều sử dụng cùng một user agent, điều này cho thấy chúng ta có thể đang đối phó với một kẻ tấn công duy nhất," Ullrich cho biết. "Đáng tiếc, chúng tôi không thu thập được phần thân của các request này, nhưng tất cả đều là HTTP POST request. Header content-length cho biết một payload dài 556 byte."
Điều này cho thấy lỗ hổng có thể đã bị khai thác như một zero-day vulnerability, rất lâu trước khi Oracle phát hành bản vá. Các địa chỉ IP mà từ đó các nỗ lực tấn công bắt nguồn được liệt kê dưới đây -
- 89.238.132[.]76
- 185.245.82[.]81
- 138.199.29[.]153
Trước tình hình khai thác tích cực, các cơ quan Federal Civilian Executive Branch (FCEB) được yêu cầu áp dụng các bản vá cần thiết trước ngày 12 tháng 12 năm 2025 để bảo mật mạng lưới của họ.
