SOC Prime Bias: Crítico

26 Nov 2025 17:14
newspaper icon SANS Internet Storm Center

CVE-2025-61757: Actividad de Explotación de Oracle Identity Manager Observada en Septiembre

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Follow
CVE-2025-61757: Actividad de Explotación de Oracle Identity Manager Observada en Septiembre
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Resumen

Este informe detalla una falla de omisión de autenticación en Oracle Identity Manager que permite a actores no autenticados acceder a URLs arbitrarias al añadir un sufijo “;.wadl”, lo que finalmente permite la ejecución remota de código. La vulnerabilidad (CVE-2025-61757) fue observada siendo explorada y explotada en el campo antes de que Oracle proporcionara una solución. Los analistas registraron múltiples IPs de escaneo que emitían solicitudes POST con una cadena de agente de usuario distintiva. Las actividades posteriores también incluyeron sondeos para otro error de Oracle (CVE-2025-4581) e intentos de activar exploits de Log4j.

Investigación

El análisis de registros reveló solicitudes POST repetidas a los puntos finales de Oracle Identity Manager que terminan en “;.wadl” durante el período de fines de agosto a principios de septiembre de 2025. Todas estas solicitudes compartían un valor de agente de usuario idéntico, apuntando a un escáner o conjunto de herramientas común. Cada solicitud llevaba una carga útil con una longitud consistente de 556 bytes, aunque los cuerpos en sí no fueron almacenados. La misma fuente también sondeó URLs asociadas con otras vulnerabilidades conocidas, expandiendo la superficie sospechosa de explotación.

Mitigación CVE-2025-61757

Oracle abordó CVE-2025-61757 en su actualización crítica de parches de octubre, publicada el 21-10-2025. Los equipos de seguridad deben desplegar rápidamente los últimos parches de Oracle, imponer una autenticación fuerte en todos los puntos finales de Oracle Identity Manager y monitorear activamente patrones de solicitudes inusuales “;.wadl”. Pasos adicionales de fortalecimiento incluyen bloquear la cadena de agente de usuario identificada en el borde, restringir el tamaño de las solicitudes POST y ajustar la exposición de WADL y configuraciones relacionadas siempre que sea posible.

Respuesta

Configure detecciones para marcar cualquier tráfico HTTP que incluya el sufijo “;.wadl”, enfocándose en solicitudes POST con cargas útiles de aproximadamente 556 bytes. Correlacione estos eventos con la huella digital del agente de usuario conocido y las direcciones IP de origen. Confirme que cada instancia de Oracle Identity Manager en el entorno esté actualizada a una versión parchada y verifique que los recursos “.wadl” no sean directamente accesibles desde redes no confiables.

Flujo de Ataque

Todavía estamos actualizando esta parte. Regístrate para recibir notificaciones.

Notifícame

Ejecución de Simulación

Prerrequisito: El Control de Listo Para Despegue de Telemetría y Línea Base debe haber pasado.

Justificación: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTP identificados y apuntar a generar exactamente la telemetría esperada por la lógica de detección. Ejemplos abstractos o no relacionados llevarán a un diagnóstico erróneo.

  • Narrativa y Comandos del Ataque:

    Un atacante, habiendo identificado una instancia no parcheada de Oracle Identity Manager, crea una carga WADL maliciosa que explota CVE-2025-61757. La carga tiene exactamente 556 bytes de longitud (según lo requerido por la prueba de concepto) y se envía a través de HTTP POST a dos URIs vulnerables conocidos. Para evitar heurísticas de detección triviales, el atacante imita la cadena de agente de usuario de un navegador común. La entrega exitosa activa la deserialización del lado del servidor, llevando a la ejecución remota de código.

  • Script de Prueba de Regresión:

    #!/usr/bin/env bash
set -euo pipefail

# Host objetivo (reemplazar con la dirección del servidor real)
TARGET="http://localhost"

# Agente de usuario de navegador común usado por la regla
UA="Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/60.0.3112.113 Safari/537.36"

# Carga maliciosa exacta de 556 bytes (simulada con caracteres repetidos “A”)
PAYLOAD=$(printf 'A%.0s' {1..556})

# Endpoints vulnerables
ENDPOINTS=(
  "/iam/governance/applicationmanagement/templates;.wadl"
  "/iam/governance/applicationmanagement/api/v1/applications/groovyscriptstatus;.wadl"
)

for EP in "${ENDPOINTS[@]}"; do
  echo "[*] Enviando exploit a $TARGET$EP"
  curl -s -o /dev/null -w "%{http_code}n" 
       -X POST "$TARGET$EP" 
       -H "User-Agent: $UA" 
       -H "Content-Type: application/xml" 
       -d "$PAYLOAD"
done

echo "[+] Intentos de explotación completados."

  • Comandos de Limpieza:

    # No hay cambios persistentes en el servidor web para esta PoC.
# Eliminar cualquier archivo temporal creado localmente.
rm -f /tmp/exploit_payload.tmp 2>/dev/null || true
echo "[*] Limpieza completada."

Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.

Únase Gratis