De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft vrijdag een kritiek beveiligingslek met gevolgen voor Oracle Identity Manager toegevoegd aan de Known Exploited Vulnerabilities (KEV)-catalogus, daarbij verwijzend naar bewijs van actieve exploitatie.
De kwetsbaarheid in kwestie is CVE-2025-61757 (CVSS-score: 9,8), een geval van ontbrekende authenticatie voor een kritieke functie die kan resulteren in vooraf geverifieerde uitvoering van externe code. Het beveiligingslek treft versies 12.2.1.4.0 en 14.1.2.1.0. Het werd door Oracle aangepakt als onderdeel van de kwartaalupdates die vorige maand werden uitgebracht.
“Oracle Fusion Middleware bevat een ontbrekende authenticatie voor een kwetsbaarheid in een kritieke functie, waardoor niet-geverifieerde externe aanvallers Identity Manager kunnen overnemen”, aldus CISA.
Searchlight Cyber-onderzoekers Adam Kues en Shubham Shah, die de fout ontdekten, zeiden dat het een aanvaller toegang kan geven tot API-eindpunten die hen op hun beurt in staat kunnen stellen “authenticatiestromen te manipuleren, privileges te escaleren en zich lateraal door de kernsystemen van een organisatie te verplaatsen.”
Concreet komt het voort uit het omzeilen van een beveiligingsfilter dat ervoor zorgt dat beschermde eindpunten als openbaar toegankelijk worden behandeld door eenvoudigweg “?WSDL” of “;.wadl” aan een willekeurige URI toe te voegen. Dit is op zijn beurt het gevolg van een defect mechanisme voor de toelatingslijst, gebaseerd op reguliere expressies of tekenreeksmatches met de aanvraag-URI.
“Dit systeem is erg foutgevoelig en er zijn doorgaans manieren om deze filters te laten denken dat we toegang hebben tot een niet-geverifieerde route terwijl dat niet het geval is”, merkten de onderzoekers op.
De authenticatieomzeiling kan vervolgens worden gecombineerd met een verzoek aan het “/iam/governance/applicationmanagement/api/v1/applications/groovyscriptstatus”-eindpunt om externe code-uitvoering te bewerkstelligen door een speciaal vervaardigde HTTP POST te verzenden. Hoewel het eindpunt alleen bedoeld is om de syntaxis van Groovy-code te controleren en niet om deze uit te voeren, zei Searchlight Cyber dat het “een Groovy-annotatie kon schrijven die tijdens het compileren wordt uitgevoerd, ook al wordt de gecompileerde code niet daadwerkelijk uitgevoerd.”
De toevoeging van CVE-2025-61757 aan de KEV-catalogus komt dagen nadat Johannes B. Ullrich, de decaan van onderzoek aan het SANS Technology Institute, zei dat een analyse van honeypot-logs verschillende pogingen aan het licht bracht om toegang te krijgen tot de URL “/iam/governance/applicationmanagement/api/v1/applications/groovyscriptstatus;.wadl” via HTTP POST-verzoeken tussen 30 augustus en 9 september 2025.
“Er worden verschillende IP-adressen gescand, maar ze gebruiken allemaal dezelfde user-agent, wat erop wijst dat we mogelijk met één enkele aanvaller te maken hebben”, aldus Ullrich. “Helaas hebben we de lichamen van deze verzoeken niet vastgelegd, maar het waren allemaal POST-verzoeken. De header met de inhoudslengte gaf een payload van 556 bytes aan.”
Dit geeft aan dat de kwetsbaarheid mogelijk is uitgebuit als een zero-day-kwetsbaarheid, lang voordat Oracle een patch uitbracht. De IP-adressen waarvan de pogingen afkomstig zijn, worden hieronder vermeld:
- 89.238.132(.)76
- 185.245.82(.)81
- 138.199.29(.)153
In het licht van actieve uitbuiting zijn de agentschappen van de Federal Civilian Executive Branch (FCEB) verplicht om vóór 12 december 2025 de nodige patches toe te passen om hun netwerken te beveiligen.
