A Cybersecurity and Infrastructure Security Agency (CISA) dos Estados Unidos emitiu um alerta para órgãos governamentais sobre a necessidade urgente de aplicar o patch da vulnerabilidade
CVE-2025-61757
, presente no Oracle Identity Manager.
A falha já vem sendo explorada em ataques, possivelmente como um zero-day.
Classificada como uma vulnerabilidade de execução remota de código (RCE) antes da autenticação, o problema foi identificada pelos analistas Adam Kues e Shubham Shah, da Searchlight Cyber.
A origem da falha está em uma brecha que permite bypass na autenticação das REST APIs do Oracle Identity Manager.
Basicamente, ao adicionar parâmetros como ?WSDL ou ;.wadl nas URLs, o sistema pode ser enganado a tratar endpoints protegidos como públicos.
Com acesso não autenticado, os invasores conseguem acessar um script Groovy — uma funcionalidade que normalmente apenas compila códigos, mas que pode ser explorada para execução maliciosa durante a compilação, por meio do processamento de anotações do Groovy.
Essa cadeia de vulnerabilidades permitiu que os pesquisadores executassem código remotamente sem necessidade de autenticação.
A Oracle corrigiu a falha no update de segurança de outubro de 2025, lançado em 21 daquele mês.
Ontem, a Searchlight Cyber divulgou um relatório técnico detalhando a vulnerabilidade e fornecendo informações completas sobre seu modo de exploração.
Os pesquisadores destacaram que, apesar da complexidade de algumas vulnerabilidades anteriores do Oracle Access Manager, essa falha é relativamente simples e fácil de ser explorada por agentes maliciosos.
Em seguida, a CISA incluiu a
CVE-2025-61757
no catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV) e exigiu que as agências federais civis dos EUA a corrijam obrigatoriamente até 12 de dezembro, conforme a Binding Operational Directive (BOD) 22-01.
A agência ressaltou que esse tipo de vulnerabilidade é um vetor frequente para ataques cibernéticos e representa riscos significativos para a infraestrutura federal.
Embora a CISA não tenha divulgado detalhes sobre a exploração prática da falha, Johannes Ullrich, Dean of Research do SANS Technology Institute, alertou que o zero-day pode estar em uso desde 30 de agosto de 2025.
Relatórios indicam que a URL vulnerável foi acessada repetidamente entre 30 de agosto e 9 de setembro, muito antes do patch da Oracle.
Ullrich identificou que as tentativas de ataque vieram de três endereços IP distintos — 89.238.132[.]76, 185.245.82[.]81 e 138.199.29[.]153 —, todos usando o mesmo user agent, um Google Chrome 60 rodando no Windows 10, sugerindo a ação de um único atacante.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...