تحذر وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) الوكالات الحكومية من تصحيح برنامج Oracle Identity Manager الذي تم تتبعه باسم CVE-2025-61757 والذي تم استغلاله في هجمات، من المحتمل أن تكون بمثابة يوم صفر.
CVE-2025-61757 هي ثغرة RCE للمصادقة المسبقة في Oracle Identity Manager، تم اكتشافها والكشف عنها بواسطة محللي Searchlight Cyber آدم كويس وشوبهام شاهفلاو.
ينبع الخلل من تجاوز المصادقة في واجهات برمجة تطبيقات REST الخاصة بـ Oracle Identity Manager، حيث يمكن خداع مرشح الأمان للتعامل مع نقاط النهاية المحمية على أنها يمكن الوصول إليها بشكل عام من خلال إلحاق معلمات مثل ?WSDL أو ;.wadl إلى مسارات URL.
بمجرد الحصول على وصول غير مصادق، يمكن للمهاجمين الوصول إلى برنامج Groovy النصي، وهو نقطة نهاية تجميع لا تنفذ عادةً برنامجًا نصيًا. ومع ذلك، يمكن إساءة استخدامه لتشغيل تعليمات برمجية ضارة في وقت الترجمة من خلال ميزات معالجة التعليقات التوضيحية في Groovy.
مكنت سلسلة العيوب هذه الباحثين من تحقيق تنفيذ تعليمات برمجية عن بعد للمصادقة المسبقة على مثيلات Oracle Identity Manager المتأثرة.
تم إصلاح الخلل كجزء من”https://www.oracle.com/security-alerts/cpuoct2025.html” الهدف=”_blank” rel=”nofollow noopener”>تحديثات أمان Oracle لشهر أكتوبر 2025، صدر في 21 أكتوبر.
وأصدرت شركة Searchlight Cyber بالأمس تقريرًا فنيًا يوضح بالتفصيل الخلل ويقدم كافة المعلومات المطلوبة لاستغلاله.
“Given the complexity of some previous Oracle Access Manager vulnerabilities, this one is somewhat trivial and easily exploitable by threat actors,” حذر الباحثون.
استغلال CVE-2025-61757 في الهجمات
اليوم، سيسا”https://content.govdelivery.com/accounts/USDHSCISA/bulletins/3fc8920″ الهدف=”_blank” rel=”nofollow noopener”> تمت إضافته ثغرة أمنية في Oracle CVE-2025-61757″https://www.cisa.gov/known-exploited-vulnerabilities-catalog?search_api_fulltext=CVE-2025-9242″ الهدف=”_blank” rel=”nofollow noopener”> نقاط الضعف المستغلة المعروفة (KEV) ومنح وكالات السلطة التنفيذية المدنية الفيدرالية (FCEB) مهلة حتى 12 ديسمبر لتصحيح الخلل وفقًا لما ينص عليه التوجيه التشغيلي الملزم (BOD) 22-01.
“This type of vulnerability is a frequent attack vector for malicious cyber actors and poses significant risks to the federal enterprise,” حذر CISA.
في حين أن CISA لم تشارك تفاصيل حول كيفية استغلال الخلل، حذر يوهانس أولريش، عميد الأبحاث في معهد SANS للتكنولوجيا، أمس من أنه ربما تم استغلال الخلل في يوم الصفر في وقت مبكر من 30 أغسطس.
“This URL was accessed several times between August 30th and September 9th this year, well before Oracle patched the issue,” وأوضح أولريش في”http://isc.sans.edu/diary/Oracle+Identity+Manager+Exploit+Observation+from+September+CVE202561757/32506/” الهدف=”_blank” rel=”nofollow noopener”> يوميات معالج ISC.
“There are several different IP addresses scanning for it, but they all use the same user agent, which suggests that we may be dealing with a single attacker.”
وفقًا لأولريش، أصدر ممثلو التهديد طلبات HTTP POST إلى نقاط النهاية التالية، والتي تتطابق مع الاستغلال الذي تشاركه Searchlight Cyber.
/iam/governance/applicationmanagement/templates;.wadl/iam/governance/applicationmanagement/api/v1/applications/groovyscriptstatus;.wadlويقول الباحث إن المحاولات جاءت من ثلاثة عناوين IP مختلفة، 89.238.132[.]76, 185.245.82[.]81, 138.199.29[.]153، ولكن جميعها تستخدم نفس وكيل مستخدم المتصفح، والذي يتوافق مع Google Chrome 60 على نظام التشغيل Windows 10.
اتصلت BleepingComputer بشركة Oracle لسؤالها عما إذا كانت قد اكتشفت الخلل الذي تم استغلاله في الهجمات، وسوف تقوم بتحديث القصة إذا تلقينا ردًا.
“https://www.bleepstatic.com/c/t/tines/tines-keyhole.jpg” البديل=”tines”>
قم بتفكيك صوامع IAM مثل Bitpanda وKnowBe4 وPathAI
إن تعطل IAM لا يمثل مجرد مشكلة تتعلق بتكنولوجيا المعلومات – بل يمتد التأثير عبر عملك بالكامل.
يغطي هذا الدليل العملي سبب فشل ممارسات IAM التقليدية في مواكبة المتطلبات الحديثة، وأمثلة على ذلك “good” تبدو IAM وكأنها قائمة مرجعية بسيطة لبناء استراتيجية قابلة للتطوير.