A Agência de Cibersegurança e Segurança de Infraestruturas dos EUA (CISA) emitiu um aviso urgente às agências governamentais para corrigirem uma vulnerabilidade crítica no Oracle Identity Manager. A falha, identificada como CVE-2025-61757, está a ser ativamente explorada em ataques e há indícios de que possa ter sido utilizada como um zero-day meses antes da correção oficial.
A vulnerabilidade permite a execução remota de código (RCE) sem necessidade de autenticação, o que a torna particularmente perigosa para as organizações que utilizam este software de gestão de identidades.
Uma porta aberta para a execução de código
A falha foi descoberta e divulgada pelos analistas Adam Kues e Shubham Shahflaw, da Searchlight Cyber, e reside num mecanismo de contorno de autenticação nas APIs REST do Oracle Identity Manager.
De acordo com os investigadores, o filtro de segurança do sistema pode ser enganado para tratar terminais (endpoints) protegidos como se fossem acessíveis publicamente. Para tal, basta aos atacantes anexarem parâmetros específicos, como ?WSDL ou ;wadl, aos caminhos do URL.
Uma vez contornada a barreira da autenticação, os atacantes conseguem aceder a um script Groovy. Embora este seja, por norma, um ponto de compilação que não executa scripts, pode ser abusado para correr código malicioso durante o tempo de compilação, tirando partido das funcionalidades de processamento de anotações do Groovy.
Esta cadeia de falhas permite que agentes maliciosos obtenham o controlo total sobre as instâncias afetadas do Oracle Identity Manager sem precisarem de qualquer credencial de acesso. Os investigadores alertaram que, "dada a complexidade de algumas vulnerabilidades anteriores do Oracle Access Manager, esta é um tanto trivial e facilmente explorável por agentes de ameaças".
Ataques começaram antes da correção
A Oracle corrigiu esta vulnerabilidade como parte das suas atualizações de segurança de outubro de 2025, lançadas no dia 21 desse mês. No entanto, a inclusão da falha no catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) da CISA confirma que a mesma está a ser usada ativamente em ciberataques.
A situação torna-se mais preocupante com os dados revelados por Johannes Ullrich, do SANS Technology Institute. O investigador alertou que a falha pode ter sido explorada como um zero-day (antes de existir correção) logo a 30 de agosto. Segundo a análise dos registos, os URLs vulneráveis foram acedidos várias vezes entre o final de agosto e o início de setembro, muito antes de a Oracle lançar o patch de segurança.
Ullrich observou que, embora os varrimentos tenham origem em diferentes endereços IP, todos utilizavam o mesmo user agent (correspondente ao Google Chrome 60 no Windows 10), o que sugere a ação de um único atacante ou grupo coordenado.
A CISA deu às agências federais dos EUA até ao dia 12 de dezembro para aplicarem as correções de segurança, sublinhando que este tipo de vulnerabilidade é um vetor de ataque frequente que coloca em risco dados sensíveis. As organizações privadas são também fortemente aconselhadas a consultar o boletim de segurança da Oracle e a atualizar os seus sistemas imediatamente.
Nenhum comentário
Seja o primeiro!