CVE-2025-61757: RCE в Oracle Identity Manager через REST API
Эксперты по кибербезопасности бьют тревогу: CVE-2025-61757 — критическая уязвимость в Oracle Identity Manager — признана CISA как известная эксплуатируемая уязвимость (KEV) из‑за подтверждённой активной эксплуатации. С оценкой CVSS 9,8 этот дефект допускает удалённое выполнение кода (RCE) и требует немедленных действий со стороны администраций и ИТ‑команд.
Кратко о фактах
- Уязвимость: CVE-2025-61757
- Продукт: Oracle Identity Manager (часть Oracle Fusion)
- Затронутые версии: 12.2.1.4.0 и 14.1.2.1.0
- Класс: Remote Code Execution (RCE) через отсутствие аутентификации для ключевых функций
- CVSS: 9,8
- Статус по CISA: KEV — подтверждённая активная эксплуатация
Механика уязвимости
Суть уязвимости — ненадлежащая защита конечных точек REST API. Злоумышленники, обходя аутентификацию, получают доступ к внутренним management API и могут вызвать выполнение произвольного кода. Особое беспокойство вызывает конечная точка "Groovy script status": она предназначена для проверки синтаксиса Groovy, но фактически компилирует и выполняет присланные сценарии, что открывает прямую дорогу к захвату системы.
Доказательства эксплуатации в природе
Отчёты Центра SANS Internet Storm Center указывают, что в период с 30 августа по 9 сентября 2025 года было предпринято множество попыток воспользоваться этой уязвимостью.
Эти инциденты произошли до выпуска исправления Oracle в октябре 2025 года, что подчёркивает срочность и реальную угрозу для организаций, не успевших вовремя обновиться.
Кому угрожает в первую очередь
Особенно высоки риски для организаций, использующих Oracle Fusion и имеющих открытые конечные точки REST API, в том числе:
- правительственные учреждения;
- крупные предприятия с централизованным управлением идентификацией;
- организации, у которых REST‑эндпойнты не были обновлены или защищены корректно.
Практические рекомендации по снижению риска
Пока не применено официальное исправление, а также в дополнение к нему, рекомендуется:
- Немедленно установить официальные патчи Oracle для уязвимых версий (как только они доступны в вашей среде).
- Ограничить сетевой доступ к административным и REST‑эндпойнтам: изолировать их в management‑сети, разрешать доступ только с доверенных IP и через VPN.
- Внедрить правила WAF/IDS/IPS для блокировки подозрительных POST‑запросов и шаблонов атак.
- Мониторить трафик и логи на предмет необычных шаблонов, в частности неожиданных POST‑запросов с размером полезной нагрузки около 556 байт, нацеленных на уязвимую конечную точку API.
- Провести аудит и hardening всех публично доступных REST‑эндпойнтов и отключить ненужные API.
- Развернуть процесс управления исправлениями, гарантирующий своевременное применение критических обновлений.
- Проверить целостность и конфигурацию Groovy‑скриптов и ограничить возможность их выполнения сторонними источниками.
Что важно помнить
«Groovy script status» — не просто утилита для проверки синтаксиса: в текущем контексте она становится вектором RCE при отсутствии корректной аутентификации и контроля ввода. Даже если уязвимость закрыта патчем, незакрытые эндпойнты и плохая практика управления доступом продолжают представлять риск.
Вывод
С учётом оценки CVSS 9,8 и подтверждённой эксплуатации в природе, CVE-2025-61757 — один из тех случаев, когда промедление недопустимо. Организациям, использующим Oracle Identity Manager и Oracle Fusion, нужно немедленно проверить свои системы на уязвимость, внедрить меры по ограничению доступа и как можно скорее применить официальные исправления.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
