Zero-Day: Falha em filtros de segurança do Oracle ID Manager permite manipulação de APIs

A Agência de Segurança Cibernética e Infraestrutura dos Estados Unidos (CISA) emitiu um alerta urgente após incluir uma falha crítica do Oracle Identity Manager em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). A decisão foi tomada após a confirmação de que hackers já estão explorando ativamente a vulnerabilidade, identificada como CVE-2025-61757, que recebeu pontuação 9.8 no CVSS devido ao seu potencial devastador.

A falha ocorre devido à ausência de autenticação em uma função crítica, permitindo que um invasor execute código remotamente sem qualquer credencial prévia. Os Pesquisadores da Searchlight Cyber, Adam Kues e Shubham Shah, responsáveis pela descoberta, explicam que o bug possibilita que hackers acessem endpoints de API capazes de manipular fluxos de autenticação, elevar privilégios e se mover lateralmente pelos sistemas centrais de uma organização.

A vulnerabilidade decorre de um bypass de um filtro de segurança, que pode ser enganado simplesmente adicionando “?WSDL” ou “;.wadl” a uma URI protegida. Esse comportamento é resultado de uma política de allow-list mal implementada, baseada em expressões regulares falhas. Segundo os Pesquisadores, basta essa manipulação para que endpoints críticos sejam tratados como públicos, abrindo porta para a exploração.

Uma vez que o bypass é obtido, o invasor pode enviar um HTTP POST especialmente criado para o:

endpoint/iam/governance/applicationmanagement/api/v1/applications/groovyscriptstatuse

alcançar execução remota de código. Embora esse endpoint deva apenas validar sintaxe de scripts Groovy, os pesquisadores descobriram uma forma de inserir uma anotação Groovy que executa código no momento da compilação — mesmo que o código compilado não seja executado pelo sistema.

Indícios de exploração ativa surgiram após o pesquisador Johannes B. Ullrich, do SANS Technology Institute, identificar tentativas repetidas de acessar o endpoint vulnerável entre 30 de agosto e 9 de setembro de 2025 a partir de múltiplos IPs, todos utilizando o mesmo user-agent, sugerindo a operação de um único hacker coordenando os ataques. As requisições, todas enviadas via POST, tinham payloads de 556 bytes — volume consistente com tentativas de exploração.

O comportamento registrado indica que o bug pode ter sido explorado como zero-day, meses antes de a Oracle lançar o patch em sua atualização trimestral. A CISA determinou que todas as agências do governo federal norte-americano apliquem a correção até 12 de dezembro de 2025, dada a gravidade e o potencial de comprometimento total da infraestrutura de identidade.

Via - THN