SOC Prime Bias: Critico

26 Nov 2025 17:14
newspaper icon SANS Centro Tempesta Internet

CVE-2025-61757: Attività di Sfruttamento di Oracle Identity Manager Osservata a Settembre

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Follow
CVE-2025-61757: Attività di Sfruttamento di Oracle Identity Manager Osservata a Settembre
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Sintesi

Il documento descrive un difetto di bypass dell’autenticazione in Oracle Identity Manager che permette ad attori non autenticati di raggiungere URL arbitrari aggiungendo un suffisso “;.wadl”, consentendo così l’esecuzione di codice remoto. La vulnerabilità (CVE-2025-61757) è stata osservata essere sondata e sfruttata in natura prima che Oracle rilasciasse una correzione. Gli analisti hanno registrato più IP di scansione che emettevano richieste POST con una stringa user-agent distintiva. L’attività successiva ha incluso anche sonde per un ulteriore bug di Oracle (CVE-2025-4581) e tentativi di attivare exploit di Log4j.

Indagine

L’analisi dei registri ha rivelato richieste POST ripetute verso endpoint di Oracle Identity Manager che terminano in “;.wadl” durante il periodo dalla fine di agosto all’inizio di settembre 2025. Tutte queste richieste avevano un valore user-agent identico, indicando uno scanner o toolkit comune. Ogni richiesta conteneva un payload con una lunghezza costante di 556 byte, anche se i corpi stessi non sono stati memorizzati. La stessa fonte ha anche sondato URL associati ad altre vulnerabilità conosciute, ampliando la superficie di sfruttamento sospetto.

Mitigazione CVE-2025-61757

Oracle ha affrontato la CVE-2025-61757 nel suo aggiornamento critico di ottobre rilasciato il 21-10-2025. I team di sicurezza dovrebbero implementare prontamente le ultime patch di Oracle, imporre un’autenticazione forte su tutti gli endpoint di Oracle Identity Manager e monitorare attivamente i modelli richieste “;.wadl” insoliti. Ulteriori passaggi di rafforzamento includono il blocco della stringa user-agent identificata al bordo, la limitazione delle dimensioni delle richieste POST e il restringimento dell’esposizione alla configurazione WADL e correlate ove possibile.

Risposta

Configura i rilevamenti per segnalare qualsiasi traffico HTTP che includa il suffisso “;.wadl”, concentrandosi sulle richieste POST con payload di circa 556 byte. Correlare questi eventi con l’impronta digitale dell’user-agent conosciuta e gli indirizzi IP di origine. Conferma che ogni istanza di Oracle Identity Manager nell’ambiente sia aggiornata a una versione patchata e verifica che le risorse “.wadl” non siano direttamente raggiungibili da reti non affidabili.

Flusso di Attacco

Stiamo ancora aggiornando questa parte. Iscriviti per essere avvisato

Avvisami

Esecuzione di simulazione

Prerequisito: Il Controllo Pre-volo di Telemetria & Baseline deve essere superato.

Motivo: Questa sezione dettaglia l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e il racconto DEVONO riflettere direttamente le TTP identificate e mirare a generare la telemetria esatta attesa dalla logica di rilevamento. Esempi astratti o non correlati porteranno a una diagnosi errata.

  • Narrativa & Comandi dell’Attacco:

    Un attaccante, avendo identificato un’istanza di Oracle Identity Manager non patchata, crea un payload WADL malevolo che sfrutta CVE‑2025‑61757. Il payload è esattamente lungo 556 byte (come richiesto dal proof‑of‑concept) ed è inviato tramite HTTP POST a due URI vulnerabili conosciuti. Per evitare euristiche di rilevamento banali, l’attaccante imita la stringa user‑agent di un browser comune. La consegna riuscita attiva la deserializzazione lato server, portando all’esecuzione di codice remoto.

  • Script di Test di Regressione:

    #!/usr/bin/env bash
set -euo pipefail

# Host di destinazione (sostituire con indirizzo server reale)
TARGET="http://localhost"

# User-agent del browser comune utilizzato dalla regola
UA="Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/60.0.3112.113 Safari/537.36"

# Payload malevolo esatto di 556 byte (simulato con caratteri “A” ripetuti)
PAYLOAD=$(printf 'A%.0s' {1..556})

# Endpoint vulnerabili
ENDPOINTS=(
  "/iam/governance/applicationmanagement/templates;.wadl"
  "/iam/governance/applicationmanagement/api/v1/applications/groovyscriptstatus;.wadl"
)

for EP in "${ENDPOINTS[@]}"; do
  echo "[*] Inviando exploit a $TARGET$EP"
  curl -s -o /dev/null -w "%{http_code}n" 
       -X POST "$TARGET$EP" 
       -H "User-Agent: $UA" 
       -H "Content-Type: application/xml" 
       -d "$PAYLOAD"
done

echo "[+] Tentativi di exploit completati."

  • Comandi di Pulizia:

    # Nessuna modifica persistente sul server web per questo PoC.
# Rimuovere eventuali file temporanei creati localmente.
rm -f /tmp/exploit_payload.tmp 2>/dev/null || true
echo "[*] Pulizia completata."

Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.

Iscriviti gratis