Главная

  1. Страницы
  2. Главная
Обложка статьи

Oracle Identity Manager пробит в ноль

Новости · 24.11.2025
🚀 Не просто читай — прокачивайся! Зарегистрируйся в Kraken Academy и учись на практике: стенды, модули и реальные скиллы.

CISA официально застукала Oracle Identity Manager за тем, что его ломают так активно, будто тут распродажа админских прав. Уязвимость CVE-2025-61757, оценённая на почти идеальные 9.8, позволяла любому гостю с улицы ворваться в систему и исполнять удалённый код, даже не нарисовавшись на экране логина. Вредность затрагивает версии 12.2.1.4.0 и 14.1.2.1.0, а Oracle пару недель назад тихо завезла патч, но по классике корпоративных трагедий — мало кто успел обновиться.

По словам CISA, дырка — это пропуск без проверки личности к критическим функциям Fusion Middleware. Исследователи Searchlight Cyber, ребята по имени Адам Кьюс и Шубхам Шах, раскопали, что можно беспрепятственно лазить по API, взламывать авторизацию, прокачивать свои привилегии и спокойно перемещаться по внутренностям организации, будто это экскурсия.

Корень зла оказался до банального хрупким: фильтр безопасности, который должен охранять закрытые эндпоинты, легко обманывается. Достаточно тупо дописать в URI хвост вроде ?WSDL или ;.wadl, и сервис решает, что перед ним белый пушистый общедоступный запрос. Таким образом, кривой белый список, собранный на регулярках и ни на что не годных строчках сравнения, буквально превращает закрытые двери в занавес.

И этого мало. После обхода защиты атакующий может постучаться в /iam/governance/applicationmanagement/api/v1/applications/groovyscriptstatus и сделать RCE через старый добрый Groovy, отправив хитрый POST. Точка вообще-то должна была только проверять синтаксис, а не становиться боевым интерпретатором. Однако исследователи показали, что можно заставить систему исполнять код уже на этапе компиляции, чтобы всё выглядело чисто — будто наказание совершилось само.

Ситуацию делает ещё веселее тот факт, что уязвимость, судя по логам honeypot-ловушек, эксплуатируется уже давно: запросы с хвостом ;.wadl фиксировались с 30 августа по 9 сентября 2025 года. Причём диапазон IP разный, но юзер-агент один и тот же. Вердикт: скорее всего, это был один чувак, но очень настойчивый. Логи намекают на неприятность: неизвестная полезная нагрузка длиной ровно 556 байт. Достаточно, чтобы взорвать корпоративный праздник.

Теперь CISA гонит всю федеральную братву (FCEB) обновляться до 12 декабря 2025, иначе последствия могут оказаться такими же позорными, как пароль admin:admin в продакшене.

Короче: у Oracle дырень, у атакующих праздник, а у админов дедлайн. Если патча нет — беда уже внутри.

📘 Понравилась статья?
Больше практики — в Kraken Academy.
Подписывайся на наш Telegram-канал.
Рекомендуемые статьи
Обложка

Кибербуллинг: что это такое, примеры и как противостоять онлайн-травле

Читать полностью →
Обложка

Критическая уязвимость SAP S/4HANA

Читать полностью →
Обложка

npm-гейт: 175 фейковых пакетов и фишинговая вечеринка Beamglea

Читать полностью →