Selon The Cyber Express, la CISA a ajouté CVE-2025-61757 à sa base Known Exploited Vulnerabilities (KEV) après que le SANS Internet Storm Center a observé des tentatives d’exploitation, tandis que des recherches de Searchlight Cyber détaillent le mécanisme et la facilité d’exploitation de la faille.
• La vulnérabilité CVE-2025-61757 (score 9,8, « Missing Authentication for Critical Function ») affecte le composant REST WebServices d’Oracle Identity Manager au sein d’Oracle Fusion Middleware versions 12.2.1.4.0 et 14.1.2.1.0. Elle permet une exécution de code à distance pré-authentification (RCE) via HTTP, pouvant mener à la prise de contrôle d’Identity Manager. Oracle a corrigé la faille dans sa mise à jour CPU d’octobre. ⚠️
• Le SANS ISC a indiqué avoir trouvé des indices d’exploitation depuis le 30 août, après la publication d’un billet technique par Searchlight Cyber, le découvreur de la faille et rapporteur auprès d’Oracle. Cyble avait également signalé l’importance de cette vulnérabilité après les correctifs d’octobre.
• Côté technique, Searchlight Cyber explique que l’application compile du code Groovy sans l’exécuter, et que des annotations Java (exécutées au moment de la compilation) peuvent appeler des fonctions système en échappant au security manager, menant à une RCE. Les chercheurs évoquent un contournement d’authentification dû à des failles logiques dans l’interprétation des URIs Java, notamment via des paramètres « matrix », rendant l’exploit « relativement trivial ». 🛠️
• Contexte connexe: le billet rappelle une intrusion Oracle Cloud plus tôt cette année liée à un hôte non corrigé pour CVE-2021-35587. En parallèle, le groupe CL0P a dépassé 100 victimes en exploitant des vulnérabilités Oracle E-Business Suite; Mazda et Cox Enterprises ont confirmé des compromissions récentes, Cox signalant l’exposition des données personnelles de plus de 9 000 personnes, tandis que Mazda indique avoir contenu l’incident.
TTPs mentionnées:
- RCE pré-authentification via « Missing Authentication for Critical Function ».
- Bypass d’authentification par failles logiques d’interprétation d’URI et paramètres matrix.
- Abus d’annotations Java à la compilation dans du code Groovy pour exécuter des fonctions système.
- Accès réseau via HTTP au composant REST WebServices d’Oracle Identity Manager.
Il s’agit d’un article de presse spécialisé visant à informer sur une vulnérabilité activement exploitée, ses mécanismes et le contexte d’exploitation.
🔗 Source originale : https://thecyberexpress.com/cisa-kev-oracle-identity-manager-vulnerability/