美國CISA警告：Oracle身分管理系統重大漏洞遭零時差攻擊利用

美國網路安全暨基礎設施安全局（CISA）於 11 月 22 日將 Oracle Identity Manager 的重大漏洞列入已知遭利用漏洞（KEV）目錄，要求聯邦政府機構在 12 月 12 日前完成修補。此漏洞編號為  CVE-2025-61757，評分高達 9.8 分，攻擊者無需身分驗證即可執行遠端程式碼。證據顯示，該漏洞在 Oracle 發布修補程式前就已遭零時差攻擊利用。

漏洞成因與攻擊手法

CVE-2025-61757 漏洞源自 Oracle Identity Manager 的 REST API 存在身分驗證繞過（authentication bypass）漏洞。攻擊者只需在 URL 路徑後方加上「?WSDL」或「;.wadl」等參數，即可欺騙安全過濾器，使原本受保護的端點被誤認為可公開存取。

此設計缺陷源於有問題的允許清單（allow-list）機制。該機制使用正規表示式或字串比對來檢查請求 URI。研究人員指出，這類系統容易出錯，攻擊者往往能欺騙過濾器，使系統誤以為使用者正在存取無需驗證的路徑。

一旦攻擊者取得未經身分驗證的存取權限，就能接觸到 Groovy 指令碼編譯端點。這個端點原本只用於檢查 Groovy 程式碼的語法，並非用來執行程式碼。然而，攻擊者可以利用 Groovy 的註解處理（annotation-processing）功能，在編譯時期執行惡意程式碼。攻擊者只需撰寫一個在編譯時期就會執行的 Groovy 註解，即使編譯後的程式碼從未實際運行，惡意程式碼也已經執行完畢。

攻擊者向「/iam/governance/applicationmanagement/api/v1/applications/groovyscriptstatus」端點發送特製的 HTTP POST 請求，即可執行遠端程式碼（RCE）。研究人員警告，相較於先前某些 Oracle Access Manager 漏洞，這個漏洞相對簡單，容易遭駭客利用。

零時差攻擊證據浮現

Oracle 於 10 月 21 日發布的 2025 年 10 月安全更新中修補了這個漏洞，但攻擊活動可能早在修補程式發布前就已展開。有研究單位發出警告，蜜罐日誌分析顯示，早在 8 月 30 日至 9 月 9 日期間就有多次嘗試存取相關 URL 的記錄。這個 URL 在今年 8 月 30 日至 9 月 9 日之間被多次存取，遠早於 Oracle 修補該問題的時間。雖然有多個不同的 IP 位址在掃描，但它們都使用相同的使用者代理(user agent)，顯示可能是單一攻擊者。

根據研究，駭客向以下兩個端點發出 HTTP POST 請求：

/iam/governance/applicationmanagement/templates;.wadl /iam/governance/applicationmanagement/api/v1/applications/groovyscriptstatus;.wadl

這些攻擊來自三個不同的 IP 位址：89.238.132[.]76、185.245.82[.]81、138.199.29[.]153，但全都使用相同的瀏覽器使用者代理，對應 Windows 10 上的 Google Chrome 60 版本。

影響範圍與修補要求

此漏洞影響 Oracle Identity Manager 的 12.2.1.4.0 與 14.1.2.1.0 版本。CISA 在公告中強調，Oracle Fusion Middleware 存在關鍵功能缺少身分驗證的漏洞，使未經身分驗證的遠端攻擊者得以接管 Identity Manager。

這類漏洞是惡意網路行為者常用的攻擊途徑，對聯邦企業環境構成重大風險。因此，CISA 根據約束性作業指令（BOD）22-01 的規定，要求聯邦民事行政部門（FCEB）機構必須在 2025 年 12 月 12 日前完成修補。

研究人員指出，成功利用此漏洞的攻擊者可以存取 API 端點，進而操縱身分驗證流程、提升權限，並在組織的核心系統中橫向移動。這意味著攻擊者不僅能控制身分管理系統，還可能藉此滲透整個企業網路的其他關鍵系統。

使用 Oracle Identity Manager 的企業組織應立即檢查系統版本，並套用 Oracle 於 10 月發布的安全更新。即使不屬於 CISA 管轄的聯邦機構，由於該漏洞已遭實際利用且攻擊手法相對簡單，所有使用者都應儘速完成修補，降低遭受攻擊的風險。

本文轉載自BleepingComputer、TheHackerNews。