CVE-2025-61757: Vulnerabilità di Esecuzione di Codice Remota non Autenticata in Oracle Identity Manager REST WebServices

Oracle Identity Manager (OIM) è una soluzione IAM (Identity and Access Management) di livello enterprise utilizzata per gestire i cicli di vita degli utenti e il provisioning degli accessi attraverso numerose applicazioni aziendali. Il suo ruolo centrale lo rende un componente critico dell’infrastruttura di sicurezza aziendale, spesso contenente dati sensibili sugli utenti e credenziali.

Questa vulnerabilità rappresenta un rischio catastrofico. Consente a un attaccante remoto non autenticato di ottenere il controllo completo del server OIM. La falla è classificata come facilmente sfruttabile con un exploit disponibile pubblicamente, rendendo estremamente alta la probabilità di attacchi attivi. Qualsiasi organizzazione che disponga di un’istanza Oracle Identity Manager accessibile via rete e non aggiornata è a rischio immediato di compromissione completa del sistema. Una violazione del sistema OIM potrebbe consentire a un avversario di creare account privilegiati non autorizzati, con conseguente accesso esteso ai sistemi aziendali integrati.

Prodotto Oracle Identity Manager
Data 2025-12-06 00:20:23

Riassunto tecnico

La causa principale di questa vulnerabilità è una falla non specificata all’interno del componente REST WebServices di Oracle Identity Manager. La falla consente l’elaborazione di input dannoso proveniente da una fonte non autenticata, portando a un’esecuzione di codice remota (RCE). Il punteggio CVSS 3.1 di 9.8 (Critico) riflette una compromissione completa della riservatezza, integrità e disponibilità (CIA).

La catena d’attacco è la seguente:

  1. Un attaccante identifica un server Oracle Identity Manager vulnerabile e accessibile in rete.
  2. L’attaccante invia una richiesta HTTP non autenticata appositamente creata a un endpoint REST API specifico.
  3. Il servizio web dell’applicazione non valida correttamente la richiesta, permettendone l’elaborazione dal codice sottostante.
  4. Questo porta all’esecuzione di codice arbitrario con i pieni permessi dell’account di servizio OIM, risultando in una compromissione totale dell’host.

Sebbene i nomi delle funzioni specifiche non siano divulgati, il difetto logico può essere concettualmente rappresentato come un input remoto non validato passato direttamente a una funzione pericolosa:

// Conceptual Example - Not Actual Code
public void handleRestRequest(HttpRequest request) {
    String vulnerableParameter = request.getParameter("data");
    // The vulnerability lies in the lack of validation before processing
    // the 'vulnerableParameter', which may lead to code execution.
    processData(vulnerableParameter);
}

Versioni interessate:

  • Oracle Identity Manager 12.2.1.4.0
  • Oracle Identity Manager 14.1.2.1.0

Oracle ha rilasciato patch di sicurezza per risolvere questa vulnerabilità. È confermata l’esistenza di un exploit pubblico.

Raccomandazioni

  • Applicare immediatamente le patch: Installare senza ritardi la patch di sicurezza rilasciata da Oracle per CVE-2025-61757 su tutte le istanze vulnerabili di Oracle Identity Manager.

  • Mitigazioni:

    • Limitare l’accesso di rete all’applicazione Oracle Identity Manager, in particolare alle porte dei REST WebServices. Consentire l’accesso solo da host affidabili e reti amministrative interne.
    • Posizionare l’applicazione dietro un Web Application Firewall (WAF) con regole progettate per ispezionare e bloccare oggetti serializzati dannosi o richieste API anomale; tuttavia, questo deve essere considerato solo una mitigazione temporanea e non un sostituto della patch.

  • Threat Hunting e Monitoraggio:

    • Analizzare i log di accesso HTTP del server Oracle Identity Manager per individuare richieste insolite o malformate verso gli endpoint REST API, specialmente provenienti da IP sconosciuti o esterni.
    • Monitorare eventuali processi figli inattesi avviati dall’account di servizio Oracle Identity Manager (es. cmd.exe, /bin/bash, powershell.exe).
    • Verificare la presenza di connessioni di rete in uscita anomale dal server OIM verso destinazioni inattese.

  • Incident Response:

    • Se si sospetta una compromissione, isolare immediatamente il server interessato dalla rete per impedire movimenti laterali.
    • Conservare i log e gli artefatti di sistema per l’indagine forense.
    • Presumere che tutte le credenziali e i segreti gestiti o memorizzati sul server OIM siano stati compromessi. Avviare una rotazione completa delle credenziali per tutti i sistemi e utenti connessi.

  • Defense-in-Depth:

    • Assicurarsi che l’applicazione Oracle Identity Manager sia distribuita in una zona di rete segmentata per limitare la superficie d’attacco.
    • Eseguire il servizio OIM con i privilegi minimi necessari al suo funzionamento.
    • Verificare che siano disponibili backup sicuri e verificati del database OIM e della configurazione di sistema.

Vuoi garantire la massima sicurezza informatica alla tua azienda? ISGroup SRL è qui per aiutarti con soluzioni di cyber security su misura per la tua azienda.

Vuoi che gestiamo tutto noi per te? Il servizi di Virtual CISO e di gestione delle vulnerabilità sono perfetti per la tua organizzazione.

Hai già le idee chiare su quello che ti serve? Esplora i nostri servizi di:

E molto altro. Proteggi la tua azienda con i migliori esperti di cybersecurity!

In