Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), kuruluşlara, aktif istismar raporlarının ardından Oracle Identity Manager’daki kritik bir güvenlik açığını derhal gidermeleri konusunda çağrıda bulunuyor.
CVE-2025-61757 olarak takip edilen güvenlik açığı, kimliği doğrulanmamış uzak saldırganların etkilenen sistemlerde rastgele kod yürütmesine olanak tanıyarak kurumsal ve hükümet ağları için ciddi bir tehdit oluşturuyor.
Bu uyarı, bu yılın başlarında Oracle Cloud’un kendi oturum açma hizmetini kapsayan ve altı milyondan fazla kaydı açığa çıkaran büyük bir ihlalin ardından geldi.
Searchlight Cyber’deki güvenlik araştırmacıları, Oracle Cloud’un oturum açma ana bilgisayarının saldırı yüzeyini analiz ederken bu güvenlik açığını tespit etti. Araştırma, Ocak ayında ele geçirilen aynı yazılım yığınının, özellikle de Oracle Identity Governance Suite’in, ciddi bir kimlik doğrulama öncesi Uzaktan Kod Yürütme (RCE) kusuru içerdiğini ortaya çıkardı.
Bu keşif, uygulamanın kimlik doğrulama filtrelerini nasıl işlediğine ilişkin kritik bir gözetimin altını çizdi ve yüzlerce kiracıyı herhangi bir geçerli kimlik bilgisi gerektirmeden tamamen tehlikeye atılmaya karşı savunmasız bıraktı.
Güvenlik açığı, uygulamanın web.xml yapılandırmasında bulunan SecurityFilter mekanizmasında bulunmaktadır. Bu filtre, kimlik doğrulama kontrollerini yönetmek için tasarlandı ancak kusurlu bir normal ifade beyaz listesine dayanıyordu.
Geliştiriciler, Web Uygulaması Açıklama Dili (WADL) dosyalarına kimlik doğrulamasız erişime izin vermeyi amaçladı, ancak uygulama, Java’nın istek Tekdüzen Kaynak Tanımlayıcılarını (URI’ler) nasıl yorumladığını hesaba katamadı.
Saldırganlar, URL’ye belirli matris parametreleri ekleyerek kimlik doğrulamayı tamamen atlayabilir. Araştırma ekibi, bir istek URI’sine ;.wadl eklenmesinin, sunucuyu, isteği zararsız bir WADL alımı olarak ele alması için kandırdığını ve temeldeki Java sunucu uygulamasının bunu geçerli bir API çağrısı olarak işlediğini gösterdi.
Bu mantıksal tutarsızlık, saldırganlara /iam/governance/applicationmanagement gibi kısıtlı REST uç noktalarına sınırsız erişim sağlar.
Kimlik doğrulama atlandıktan sonra, tehdit aktörleri kod yürütmeyi gerçekleştirmek için groovyscriptstatus uç noktasından yararlanabilir. Her ne kadar bu uç nokta yalnızca Groovy komut dosyalarını çalıştırmadan sözdizimi denetimi yapmak için tasarlanmış olsa da, derleme gerçekleştirir.
Saldırganlar, @ASTTest ek açıklamasını içeren bir komut dosyası enjekte ederek Java derleyicisini derleme aşaması sırasında rastgele kod çalıştırmaya zorlayabilir. Bu teknik, bir sözdizimi denetleyicisini etkili bir şekilde tamamen işlevsel bir uzak kabuğa dönüştürerek ana bilgisayar sistemi üzerinde kontrol sağlar.
Bu güvenlik açığı özellikle tehlikelidir çünkü önceden erişim veya kimlik bilgisi gerektirmez. Önemsiz bir kimlik doğrulama bypass’ı ile kod yürütmeye yönelik güvenilir bir yöntemin birleşimi, onu fidye yazılımı grupları ve devlet destekli aktörler için çekici bir hedef haline getiriyor.
Oracle Identity Governance Suite 12c çalıştıran kuruluşlara ilgili yamaları hemen uygulamaları veya etkilenen hizmetleri genel internetten izole etmeleri tavsiye edilir.
| CVE Kimliği | Etkilenen Ürün | Güvenlik Açığı Türü | Darbe | Şiddet |
|---|---|---|---|---|
| CVE-2025-61757 | Oracle Identity Governance Suite 12c (12.2.1.4.0) | Ön Kimlik Doğrulama RCE | Uzaktan Kod Yürütme, Tam Sistem Güvenliği | Kritik (9.8) |
| CVE-2021-35587 | Oracle Erişim Yöneticisi | Ön Kimlik Doğrulama RCE | Veri Sızıntısı, Uzlaşma | Kritik |
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
