Waarschuwing voor misbruik lek in Oracle Identity Manager

In dit artikel:

CISA waarschuwt voor actieve uitbuiting van een kritieke kwetsbaarheid (CVE-2025-61757) in Oracle Identity Manager: een fout die remote code execution mogelijk maakt zonder enige vorm van authenticatie. De kwetsbaarheid, ontdekt door Adam Kues en Shubham Shah van Searchlight Cyber, ontstaat door een onvoldoende robuust filter in de REST‑API’s. Door parameters als ?WSDL of ;wadl aan URL’s toe te voegen worden beveiligde eindpunten als publiek toegankelijk behandeld, waardoor aanvallers interne functionaliteit kunnen bereiken.

Via die bypass is een endpoint toeganklijk dat Groovy-code compileert; door misbruik van Groovy‑annotaties kan tijdens compilatie arbitrary code worden uitgevoerd. Daardoor volstaat geen interactie of inloggegevens om volledige remote code execution te bereiken, wat de fout zeer aantrekkelijk maakt voor aanvallers.

Oracle bracht op 21 oktober 2025 een patch uit. CISA heeft de kwetsbaarheid opgenomen in de Known Exploited Vulnerabilities-lijst, waardoor Amerikaanse overheidsinstanties verplicht zijn te patchen volgens Binding Operational Directive 22‑01 (deadline 12 december). Onderzoekers zien aanwijzingen dat misbruik al sinds eind augustus plaatsvindt: meerdere verdachte POST‑verzoeken met dezelfde user‑agent kwamen overeen met de exploitketen. Oracle heeft op vragen van BleepingComputer nog niet publiek gereageerd.

Advies voor organisaties: breng de patch direct aan, beperk externe toegang tot Identity Manager, segmenteer netwerken en monitor logs op verdachte verzoeken en indicators of compromise.