CVE-2025-61757: Beobachtete Ausnutzungsaktivität bei Oracle Identity Manager im September

Zusammenfassung

Der Bericht beschreibt eine Authentifizierungsumgehungsschwachstelle im Oracle Identity Manager, die es nicht authentifizierten Akteuren ermöglicht, beliebige URLs durch Anhängen eines „;.wadl“-Suffixes zu erreichen, was letztendlich die Ausführung von Remote-Code ermöglicht. Die Schwachstelle (CVE-2025-61757) wurde im Vorfeld beobachtet, als sie in freier Wildbahn sondiert und ausgenutzt wurde, bevor Oracle einen Fix bereitstellte. Analysten verzeichneten mehrere Scanning-IPs, die POST-Anfragen mit einem charakteristischen User-Agent-String sendeten. Nachfolgende Aktivitäten umfassten auch Sondierungen für einen weiteren Oracle-Fehler (CVE-2025-4581) und Versuche, Log4j-Exploits auszulösen.

Untersuchung

Die Protokollanalyse zeigte zwischen Ende August und Anfang September 2025 wiederholte POST-Anfragen an Oracle Identity Manager-Endpunkte, die mit „;.wadl“ endeten. Alle diese Anfragen teilten einen identischen User-Agent-Wert, der auf einen gemeinsamen Scanner oder ein Toolkit hinweist. Jede Anfrage trug eine Nutzlast mit einer konsistenten Länge von 556 Bytes, obwohl die eigentlichen Inhalte nicht gespeichert wurden. Die gleiche Quelle überprüfte auch URLs, die mit anderen bekannten Schwachstellen in Verbindung stehen, was die vermutete Exploit-Oberfläche erweitert.

CVE-2025-61757-Minderung

Oracle hat CVE-2025-61757 in seinem Oktober-Critical-Patch-Update am 2025-10-21 adressiert. Sicherheitsteams sollten die neuesten Oracle-Patches umgehend bereitstellen, starke Authentifizierung an allen Oracle Identity Manager-Endpunkten durchsetzen und aktiv nach ungewöhnlichen „;.wadl“-Anfrage-Mustern suchen. Weitere Härtungsschritte umfassen das Blockieren des identifizierten User-Agent-Strings am Netzwerkrand, die Einschränkung der POST-Anfragegröße und die Begrenzung der WADL- und damit verbundenen Konfigurationsexposition, wo immer möglich.

Reaktion

Konfigurieren Sie Erkennungen, um jeglichen HTTP-Verkehr zu kennzeichnen, der das „;.wadl“-Suffix enthält, wobei der Schwerpunkt auf POST-Anfragen mit ungefähr 556-Byte-Nutzlasten liegt. Korrelieren Sie diese Ereignisse mit dem bekannten User-Agent-Fingerabdruck und den Herkunfts-IP-Adressen. Stellen Sie sicher, dass jede Oracle Identity Manager-Instanz in der Umgebung auf eine gepatchte Version aktualisiert ist und überprüfen Sie, dass „.wadl“-Ressourcen nicht direkt von unzuverlässigen Netzwerken aus erreichbar sind.

Simulationsausführung

Voraussetzung: Der Telemetrie- & Grundlinien-Pre‑flight-Check muss bestanden sein.

Begründung: Dieser Abschnitt beschreibt die präzise Ausführung der gegnerischen Technik (TTP), die dazu bestimmt ist, die Erkennungsregel auszulösen. Die Befehle und Erzählung MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, die genaue Telemetrie zu generieren, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht verwandte Beispiele führen zu Fehldiagnosen.

• Angriffserzählung & Befehle:

  Ein Angreifer, der eine ungepatchte Oracle Identity Manager-Instanz identifiziert hat, erstellt eine bösartige WADL-Nutzlast, die CVE-2025-61757 ausnutzt. Die Nutzlast ist genau 556 Bytes lang (wie durch den Proof-of-Concept erforderlich) und wird über HTTP POST an zwei bekannte verwundbare URIs gesendet. Um triviale Erkennungsheuristiken zu vermeiden, imitiert der Angreifer einen gängigen Browser-User-Agent String. Eine erfolgreiche Zustellung löst die Server-seitige Deserialisierung aus, die zur Ausführung von Remote-Code führt.

• Regressionstest-Skript:

  #!/usr/bin/env bash
  set -euo pipefail
  
  # Zielhost (durch tatsächliche Serveradresse ersetzen)
  TARGET="http://localhost"
  
  # Häufig verwendeter Browser-User-Agent, der von der Regel genutzt wird
  UA="Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/60.0.3112.113 Safari/537.36"
  
  # Exakt 556-Byte bösartige Nutzlast (simuliert mit wiederholten „A“-Zeichen)
  PAYLOAD=$(printf 'A%.0s' {1..556})
  
  # Verwundbare Endpunkte
  ENDPOINTS=(
    "/iam/governance/applicationmanagement/templates;.wadl"
    "/iam/governance/applicationmanagement/api/v1/applications/groovyscriptstatus;.wadl"
  )
  
  for EP in "${ENDPOINTS[@]}"; do
    echo "[*] Sende Exploit an $TARGET$EP"
    curl -s -o /dev/null -w "%{http_code}n" 
         -X POST "$TARGET$EP" 
         -H "User-Agent: $UA" 
         -H "Content-Type: application/xml" 
         -d "$PAYLOAD"
  done
  
  echo "[+] Exploit-Versuche abgeschlossen."

• Bereinigungskommandos:

  # Keine dauerhaften Änderungen am Webserver für diesen PoC.
  # Entfernen Sie alle lokal erstellten temporären Dateien.
  rm -f /tmp/exploit_payload.tmp 2>/dev/null || true
  echo "[*] Bereinigung abgeschlossen."