SOC Prime Bias: Критичний

26 Nov 2025 17:14
newspaper icon Інтернет-штормовий центр SANS

CVE-2025-61757: Активність експлойтів Oracle Identity Manager, виявлена у вересні

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Стежити
CVE-2025-61757: Активність експлойтів Oracle Identity Manager, виявлена у вересні
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Резюме

У цій статті описано вразливість обходу аутентифікації в Oracle Identity Manager, яка дозволяє неавтентифікованим учасникам отримувати доступ до довільних URL-адрес, додаючи суфікс “;.wadl”, що зрештою дозволяє виконання віддаленого коду. Вразливість (CVE-2025-61757) було зафіксовано, коли її досліджували та експлуатували у диких умовах перед тим, як Oracle випустила виправлення. Аналітики зафіксували кілька IP-адрес, що здійснювали сканування, які відправляли POST-запити з унікальним значенням user-agent. Подальші дії також включали сканування на предмет іншої помилки Oracle (CVE-2025-4581) та спроби викликати експлойти Log4j.

Розслідування

Аналіз журналів виявив повторні POST-запити до кінцевих точок Oracle Identity Manager, що закінчуються на “;.wadl” у період з кінця серпня до початку вересня 2025 року. Усі ці запити мали однакове значення user-agent, що вказує на загальний сканер або інструментарій. Кожний запит мав корисне навантаження довжиною 556 байтів, хоча самі тіла не зберігались. Те ж саме джерело також досліджувало URL-адреси, пов’язані з іншими відомими вразливостями, розширюючи підозрювану поверхню експлойтів.

Пом’якшення CVE-2025-61757

Oracle вирішила проблему CVE-2025-61757 у своїй критичній оновлення безпеки, випущеному 21 жовтня 2025 року. Командам безпеки слід негайно розгорнути останні патчі Oracle, забезпечити сильну аутентифікацію на всіх кінцевих точках Oracle Identity Manager та активно відстежувати незвичайні запити “;.wadl”. Додаткові заходи захисту включають блокування ідентифікованого рядка user-agent на краю, обмеження розмірів POST-запитів і посилення експозиції налаштувань WADL та пов’язаних з ними, де це можливо.

Відповідь

Налаштуйте детекцію для маркування будь-якого HTTP-трафіку, що включає суфікс “;.wadl”, зосереджуючи увагу на POST-запитах, які містять корисне навантаження з приблизно 556 байтами. Корелюйте ці події з відомим відбитком user-agent і IP-адресами походження. Підтвердіть, що кожен інстанс Oracle Identity Manager у середовищі оновлено до версії з патчем та перевірте, що ресурси “.wadl” не доступні безпосередньо з недовірених мереж.

Потік атаки

Ми ще оновлюємо цю частину. Підпишіться, щоб отримати сповіщення

Сповіщати мене

Виконання симуляції

Попередня умова: Перевірка телеметрії та базової лінії повинна бути пройдена.

Обґрунтування: Цей розділ деталізує точне виконання техніки противника (TTP), розробленої для ініціювання правила виявлення. Команди та наративи МАЮТЬ безпосередньо відображати виявлені TTP і спрямовані на генерацію телеметрії, яка очікується логікою виявлення. Абстрактні або нерелевантні приклади призведуть до неправильної діагностики.

  • Опис атаки та команди:

    Зловмисник, виявивши непатчений екземпляр Oracle Identity Manager, створює шкідливе WADL-навантаження, яке експлуатує CVE-2025-61757. Навантаження точно 556 байтів (як вимагалося доказом концепції) і відправляється через HTTP POST на дві відомі вразливі URI. Щоб уникнути тривіальних евристик виявлення, зловмисник імітує рядок user-agent поширеного браузера. Успішна доставка ініціює десеріалізацію на сервері, що призводить до виконання віддаленого коду.

  • Сценарій регресійного тесту:

    #!/usr/bin/env bash
set -euo pipefail

# Цільовий хост (замініть на фактичну адресу сервера)
TARGET="http://localhost"

# Загальний рядок user-agent браузера, який використовується правилом
UA="Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/60.0.3112.113 Safari/537.36"

# Точне 556-байтне шкідливе навантаження (симулюється повторюваними символами “A”)
PAYLOAD=$(printf 'A%.0s' {1..556})

# Вразливі кінцеві точки
ENDPOINTS=(
  "/iam/governance/applicationmanagement/templates;.wadl"
  "/iam/governance/applicationmanagement/api/v1/applications/groovyscriptstatus;.wadl"
)

for EP in "${ENDPOINTS[@]}"; do
  echo "[*] Надсилання експлуатації на $TARGET$EP"
  curl -s -o /dev/null -w "%{http_code}n" 
       -X POST "$TARGET$EP" 
       -H "User-Agent: $UA" 
       -H "Content-Type: application/xml" 
       -d "$PAYLOAD"
done

echo "[+] Спроби експлуатації завершено."

  • Команди очищення:

    # Ніяких постійних змін на веб-сервері для цієї PoC.
# Видалити всі тимчасові файли, створені локально.
rm -f /tmp/exploit_payload.tmp 2>/dev/null || true
echo "[*] Очищення завершено."

Приєднуйтесь до платформи Detection as Code від SOC Prime щоб покращити видимість загроз, найбільш актуальних для вашого бізнесу. Щоб допомогти вам почати і забезпечити негайну користь, заплануйте зустріч з експертами SOC Prime.

Приєднатися безкоштовно