ISGroup Consultoría de Ciberseguridad

CVE-2025-61757: Vulnerabilidad de Ejecución Remota de Código no Autenticada en Oracle Identity Manager REST WebServices

Oracle Identity Manager (OIM) es una solución IAM (Identity and Access Management) de nivel empresarial utilizada para gestionar los ciclos de vida de los usuarios y el aprovisionamiento de accesos a través de numerosas aplicaciones corporativas. Su papel central lo convierte en un componente crítico de la infraestructura de seguridad empresarial, que a menudo contiene datos confidenciales de usuarios y credenciales.

Esta vulnerabilidad representa un riesgo catastrófico. Permite que un atacante remoto no autenticado obtenga el control total del servidor OIM. El fallo está clasificado como fácilmente explotable con un exploit disponible públicamente, lo que hace que la probabilidad de ataques activos sea extremadamente alta. Cualquier organización que disponga de una instancia de Oracle Identity Manager accesible a través de la red y no actualizada corre un riesgo inmediato de compromiso total del sistema. Una violación del sistema OIM podría permitir a un adversario crear cuentas privilegiadas no autorizadas, lo que resultaría en un acceso extendido a los sistemas corporativos integrados.

ProductoOracle Identity Manager
Fecha2025-12-06 00:20:23

Resumen técnico

La causa principal de esta vulnerabilidad es un fallo no especificado dentro del componente REST WebServices de Oracle Identity Manager. El fallo permite el procesamiento de entradas maliciosas provenientes de una fuente no autenticada, lo que conduce a una ejecución remota de código (RCE). La puntuación CVSS 3.1 de 9.8 (Crítico) refleja un compromiso total de la confidencialidad, integridad y disponibilidad (CIA).

La cadena de ataque es la siguiente:

  1. Un atacante identifica un servidor Oracle Identity Manager vulnerable y accesible en la red.
  2. El atacante envía una solicitud HTTP no autenticada especialmente diseñada a un endpoint de la API REST específico.
  3. El servicio web de la aplicación no valida correctamente la solicitud, permitiendo su procesamiento por parte del código subyacente.
  4. Esto conduce a la ejecución de código arbitrario con los permisos completos de la cuenta de servicio de OIM, resultando en una compromiso total del host.

Aunque los nombres de las funciones específicas no han sido divulgados, el defecto lógico puede representarse conceptualmente como una entrada remota no validada que se pasa directamente a una función peligrosa:

// Ejemplo conceptual - No es código real
public void handleRestRequest(HttpRequest request) {
    String vulnerableParameter = request.getParameter("data");
    // La vulnerabilidad reside en la falta de validación antes de procesar
    // el 'vulnerableParameter', lo que puede llevar a la ejecución de código.
    processData(vulnerableParameter);
}

Versiones afectadas:

  • Oracle Identity Manager 12.2.1.4.0
  • Oracle Identity Manager 14.1.2.1.0

Oracle ha publicado parches de seguridad para resolver esta vulnerabilidad. Se confirma la existencia de un exploit público.

Recomendaciones

  • Aplicar parches inmediatamente: Instalar sin demora el parche de seguridad publicado por Oracle para CVE-2025-61757 en todas las instancias vulnerables de Oracle Identity Manager.

  • Mitigaciones:

    • Limitar el acceso de red a la aplicación Oracle Identity Manager, en particular a los puertos de los REST WebServices. Permitir el acceso solo desde hosts confiables y redes administrativas internas.
    • Colocar la aplicación detrás de un Web Application Firewall (WAF) con reglas diseñadas para inspeccionar y bloquear objetos serializados maliciosos o solicitudes API anómalas; sin embargo, esto debe considerarse solo una mitigación temporal y no un sustituto del parche.

  • Threat Hunting y Monitoreo:

    • Analizar los registros de acceso HTTP del servidor Oracle Identity Manager para detectar solicitudes inusuales o malformadas hacia los endpoints de la API REST, especialmente provenientes de IPs desconocidas o externas.
    • Monitorear cualquier proceso hijo inesperado iniciado por la cuenta de servicio de Oracle Identity Manager (ej. cmd.exe, /bin/bash, powershell.exe).
    • Verificar la presencia de conexiones de red salientes anómalas desde el servidor OIM hacia destinos inesperados.

  • Respuesta ante incidentes:

    • Si se sospecha de un compromiso, aislar inmediatamente el servidor afectado de la red para impedir movimientos laterales.
    • Conservar los registros y artefactos del sistema para la investigación forense.
    • Asumir que todas las credenciales y secretos gestionados o almacenados en el servidor OIM han sido comprometidos. Iniciar una rotación completa de credenciales para todos los sistemas y usuarios conectados.

  • Defensa en profundidad:

    • Asegurarse de que la aplicación Oracle Identity Manager esté desplegada en una zona de red segmentada para limitar la superficie de ataque.
    • Ejecutar el servicio OIM con los privilegios mínimos necesarios para su funcionamiento.
    • Verificar que existan copias de seguridad seguras y verificadas de la base de datos OIM y de la configuración del sistema.

[Callforaction-THREAT-Footer]

In