CISA waarschuwt dat een kritieke kwetsbaarheid in Oracle Identity Manager actief wordt misbruikt. De fout, CVE-2025-61757, maakt remote code execution mogelijk zonder enige vorm van authenticatie en vormt een direct risico voor organisaties die op het platform vertrouwen voor identity- en toegangsbeheer.
De kwetsbaarheid raakt volgens The Hacker News zowel oudere als recentere versies van Oracle Identity Manager en kan in veel omgevingen aanzienlijke gevolgen hebben, omdat het product vaak diep geïntegreerd is in bedrijfsprocessen en andere applicaties.
De fout werd ontdekt door Searchlight Cyber-onderzoekers Adam Kues en Shubham Shah. De bypass ontstaat doordat een beveiligingsfilter in de REST API’s niet robuust genoeg is. Door parameters zoals vraagteken-WSDL of puntkomma-wadl aan een URL toe te voegen, behandelt het systeem beveiligde eindpunten alsof ze vrij toegankelijk zijn.
Dat maakt het mogelijk om zonder enige authenticatie bij interne functionaliteit te komen. De onderzoekers tonen aan dat de kwetsbaarheid niet alleen eenvoudig te misbruiken is, maar ook zeer breed inzetbaar binnen verschillende configuraties van Oracle Identity Manager.
Aantrekkelijke kwetsbaarheid voor criminelen
Een aanvaller die binnenkomt via de bypass kan vervolgens een endpoint benaderen dat bedoeld is voor het compileren van Groovy-code. Hoewel het normaal geen scripts uitvoert, kan het door misbruik van Groovy-annotaties toch worden gebruikt om code te laten draaien tijdens de compilatie. Daarmee ontstaat een aanvalspad dat leidt tot volledige remote code execution. Dit zonder dat het slachtoffer enige interactie hoeft te hebben. Ook zijn inloggegevens dan overbodig. Dit maakt de fout bijzonder aantrekkelijk voor cybercriminelen en andere dreigingsactoren.
Oracle heeft de kwetsbaarheid gerepareerd in de beveiligingsupdate van 21 oktober 2025. Volgens BleepingComputer heeft CISA de fout inmiddels opgenomen in de Known Exploited Vulnerabilities-catalogus. Dit betekent dat patchen verplicht is voor Amerikaanse overheidsinstanties. Deze organisaties moeten de updates uiterlijk 12 december toepassen in het kader van Binding Operational Directive 22-01. CISA benadrukt dat kwetsbaarheden in identity-managementsystemen vaak worden gebruikt om bredere netwerken binnen te dringen, omdat zij een centrale rol spelen in authenticatie en autorisatie.
Waarnemingen wijzen erop dat de kwetsbaarheid al vanaf eind augustus is misbruikt. Onderzoekers registreerden meerdere verdachte POST-verzoeken richting paden die overeenkomen met de exploitketen. De verzoeken hadden dezelfde user agent, wat kan wijzen op één aanvaller of een geautomatiseerd scanplatform. Hoewel de volledige payloads niet zijn vastgelegd, bevestigt de timing dat er mogelijk sprake was van zero-day misbruik. Oracle heeft nog niet gereageerd op vragen van BleepingComputer over eventuele waarnemingen van eigen systemen.