La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha añadido recientemente una vulnerabilidad crítica que afecta a Oracle Identity Manager a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), confirmando que ya está siendo utilizada activamente por actores maliciosos en escenarios reales.
La falla, identificada como CVE-2025-61757 y calificada con una puntuación de 9,8 en CVSS, representa un grave riesgo para organizaciones que utilizan las versiones 12.2.1.4.0 y 14.1.2.1.0 de Oracle Identity Manager. Según el aviso, la vulnerabilidad se debe a un error de ausencia de autenticación en una función crítica, lo que permite la ejecución remota de código (RCE) sin necesidad de credenciales previas.
Una falla crítica en el corazón de la gestión de identidades
Oracle Identity Manager es una pieza central en la infraestructura de seguridad de numerosas organizaciones, ya que gestiona:
-
Autenticaciones
-
Identidades de usuarios
-
Flujos de acceso
-
Control de privilegios
Un compromiso en este sistema abre la puerta a ataques masivos que pueden escalar rápidamente a incidentes de alto impacto, incluyendo:
-
Compromiso total del dominio
-
Robo de credenciales privilegiadas
-
Movimiento lateral interno
-
Persistencia a largo plazo
CISA advirtió que esta vulnerabilidad permite que atacantes remotos no autenticados tomen control completo de la plataforma, lo que eleva el riesgo a niveles críticos, especialmente en entornos gubernamentales y corporativos.
¿Cómo funciona el bypass de autenticación?
Los investigadores de Searchlight Cyber, Adam Kues y Shubham Shah, fueron quienes descubrieron y documentaron esta vulnerabilidad.
De acuerdo con su análisis técnico, el fallo se origina en un sistema defectuoso de filtrado de seguridad basado en expresiones regulares, que intenta distinguir entre rutas públicas y rutas protegidas.
El problema es que este filtro puede ser engañado añadiendo ciertos sufijos al final de la URL, como:
-
1?WSDL
-
1;.wadl
Por ejemplo:
Al agregar esta cadena, los endpoints protegidos son tratados como si fueran públicos, permitiendo a un atacante evadir completamente la autenticación.
Este tipo de errores es particularmente peligroso, ya que explota directamente la lógica de protección interna del sistema.
Ejecución remota de código mediante Groovy
Una vez que el atacante logra evadir la autenticación, puede dirigirse al endpoint:
Este punto final fue diseñado para verificar la sintaxis de código Groovy, pero Searchlight Cyber demostró que un atacante puede abusar del sistema para escribir una anotación Groovy que se ejecuta en tiempo de compilación, logrando así la ejecución remota de código incluso aunque el script no se ejecute de forma directa.
Esto convierte a CVE-2025-61757 en una de las vulnerabilidades más peligrosas del año en entornos de gestión de identidad.
Evidencia de explotación activa en la naturaleza
La gravedad del caso se intensificó cuando Johannes B. Ullrich, del SANS Technology Institute, reveló que sus sistemas de honeypot detectaron actividad sospechosa relacionada con esta vulnerabilidad.
Entre el 30 de agosto y el 9 de septiembre de 2025, se registraron múltiples intentos de explotación mediante solicitudes HTTP POST al endpoint vulnerable.
Características del ataque:
-
Se usó el mismo User-Agent.
-
Se observaron múltiples direcciones IP.
-
Las solicitudes tenían cargas útiles de aproximadamente 556 bytes.
-
Todas usaban la variante con
1;.wadlpara evadir filtrado.
Las direcciones IP detectadas fueron:
-
89.238.132[.]76
-
185.245.82[.]81
-
138.199.29[.]153
Este patrón sugiere una posible campaña organizada y automatizada, lo que refuerza la hipótesis de que esta vulnerabilidad estuvo siendo explotada incluso antes de que Oracle publicara su parche.
Parcheo obligatorio para agencias federales
Debido a la inclusión de CVE-2025-61757 en el catálogo KEV de CISA, todas las agencias del Poder Ejecutivo Civil Federal (FCEB) están obligadas a:
Aplicar las actualizaciones de seguridad correspondientes antes del 12 de diciembre de 2025.
Aunque esta directiva aplica directamente al sector gubernamental estadounidense, la recomendación se extiende a todas las organizaciones que utilicen Oracle Identity Manager en sus infraestructuras críticas.
Riesgos para empresas y organizaciones
La explotación de esta vulnerabilidad podría derivar en:
-
Compromiso de sistemas de identidad empresarial
-
Robo de datos sensibles
-
Interrupción de servicios críticos
-
Ataques de ransomware posteriores
-
Espionaje cibernético
Además, al tratarse de una falla en una solución de IAM (Identity and Access Management), el impacto no se limita a un único sistema, sino que se propaga a toda la red organizacional.
Recomendaciones de mitigación inmediata
Si tu organización utiliza Oracle Identity Manager, debes actuar de forma urgente:
-
Aplicar los parches oficiales de Oracle incluidos en su última actualización trimestral.
-
Revisar los registros (logs) en busca de accesos sospechosos a:
-
Implementar reglas de detección en WAF para bloquear accesos con
1;.wadlo
1?WSDL.
-
Monitorear actividad anómala relacionada con ejecuciones de Groovy.
-
Realizar auditorías completas del servidor IAM.
Un recordatorio sobre la importancia de la gestión de parches
Este caso demuestra nuevamente que las vulnerabilidades críticas en sistemas de identidad son uno de los objetivos principales de los atacantes, ya que permiten obtener acceso privilegiado con un solo punto de compromiso.
Mantener un ciclo de parcheo actualizado y monitoreo continuo ya no es opcional, sino una necesidad esencial para evitar incidentes mayores.
Fuente: The Hacker News
