A támadók előtt tárva-nyitva az ajtó: súlyos Oracle-hiba

Az Egyesült Államok Kiberbiztonsági és Infrastruktúra-biztonsági Ügynöksége (CISA) figyelmeztetést adott ki az Oracle Identity Manager súlyos sebezhetőségéről, amelyet aktívan ki is használnak a támadók. Ez a hiba, amely a CVE-2025-61757 azonosítót kapta, lehetőséget ad távoli kódfuttatásra még a bejelentkezés előtt. A problémát a Searchlight Cyber elemzői fedezték fel, akik szerint a sebezhetőség könnyen kihasználható és jelentős veszélyt jelent.

Kiskapu a REST API-n keresztül

A hiba lényege, hogy az Oracle Identity Manager REST API-ján egy biztonsági szűrőt könnyen meg lehet kerülni. Egy speciálisan formázott URL-lel – például a ?WSDL vagy a ;.wadl paraméter hozzáadásával – a rendszer nyitottá válik, mintha publikus lenne. Így a támadók engedély nélküli hozzáférést szerezhetnek egy Groovy-szkript végponthoz, ahol normál esetben nem futna le programkód. A Groovy speciális funkcióit kihasználva azonban a támadók rosszindulatú kódot futtathatnak fordítás közben.

Gyors javítás, de veszélyes exploit

A sebezhetőséget október 21-én javították, miután a részleteket nyilvánosságra hozták. A CISA minden szövetségi kormányzati ügynökséget felszólított, hogy december 12-ig telepítse a javítást. Johannes Ullrich kutató szerint a sebezhetőséget már augusztus végén kihasználták, sokkal korábban, mint ahogy az Oracle befoltozta volna.

Bizonyítékok a támadásra

Az elemzések szerint különböző IP-címekről érkeztek POST-kérelmek két végpont felé, de mindegyik ugyanazt a Chrome 60-as böngészőazonosítót használta Windows 10-en. Ez arra utal, hogy egy szervezett támadóról lehet szó.

Azonnali frissítést sürgetnek

A CISA kiemelte, hogy az ilyen típusú sebezhetőségek gyakran jelentik a támadók elsődleges célpontját, ezért elengedhetetlen az azonnali javítás. Az Oracle továbbra is vizsgálja, történt-e újabb támadás a hiba kihasználásával.

2025, adrienne, www.bleepingcomputer.com alapján