Lỗ hổng RCE cực nguy hiểm trong Oracle Identity Manage, hacker khai thác không cần chờ

[WhiteHat Team]

CISA thông báo đưa lỗ hổng CVE-2025-61757 vào danh sách Known Exploited Vulnerabilities (KEV), xác nhận lỗi này đang bị khai thác chủ động ngoài thực tế. Đây là một trong những lỗ hổng nghiêm trọng nhất từng ảnh hưởng đến Oracle Identity Manager. Với điểm đánh giá CVSS 9,8, lỗ hổng cho phép kẻ xấu thực thi mã độc từ xa mà không cần xác thực, đồng nghĩa chỉ cần truy cập được endpoint chứa lỗi là có thể chiếm toàn quyền quản trị.

​

Nguyên nhân được các chuyên gia đánh giá nằm ở bộ lọc bảo mật của Oracle Identity Manager bị sai logic, dựa vào cơ chế allow-list thiếu an toàn.

Kẻ tấn công chỉ cần thêm chuỗi “?WSDL” hoặc “;.wadl” vào cuối bất kỳ URL được bảo vệ là hệ thống hiểu nhầm đó là endpoint công khai và cho phép truy cập mà không cần đăng nhập.

Điều này biến các API nội bộ, vốn chỉ dành cho quản trị viên, trở thành cửa hậu mở toang, cho phép kẻ tấn công thao túng quy trình xác thực, leo thang đặc quyền và di chuyển ngang trong toàn bộ hệ thống doanh nghiệp.

Từ bypass xác thực đến chiếm quyền: Kỹ thuật khai thác rất rõ ràng​

Sau khi vượt qua xác thực, kẻ tấn công có thể gửi một yêu cầu POST đặc biệt tới endpoint:

/iam/governance/applicationmanagement/api/v1/applications/groovyscriptstatus

Endpoint này vốn chỉ dùng để kiểm tra cú pháp Groovy Script, nhưng lỗi thiết kế khiến nó có thể bị lợi dụng để thực thi mã trong giai đoạn biên dịch. Chỉ cần một annotation Groovy được tạo khéo léo, hệ thống sẽ xử lý mã độc ngay tại thời điểm compile mà không cần chạy script. Kết quả là RCE hoàn chỉnh.

Dấu hiệu bị khai thác từ trước khi có bản vá​

Một số hệ thống honeypot của SANS ghi nhận các yêu cầu bất thường truy cập đúng URL chứa lỗi, với mẫu user-agent giống nhau, từ nhiều địa chỉ IP khác nhau trong giai đoạn 30/8 – 9/9/2025. Điều này cho thấy lỗ hổng có khả năng bị khai thác như zero-day, trước khi Oracle phát hành bản vá tháng trước.

Các IP liên quan đều đặt tại nước ngoài và thực hiện POST request chứa payload dài khoảng 556 byte, đây là dấu hiệu rõ ràng của nỗ lực khai thác RCE.

Mức độ ảnh hưởng: Quy mô lớn, rủi ro cao​

Oracle Identity Manager là một phần trong Oracle Fusion Middleware, được nhiều tổ chức tài chính, doanh nghiệp lớn và cơ quan chính phủ sử dụng để quản lý danh tính, quy trình phê duyệt và quyền truy cập nội bộ.

Một khi bị khai thác, kẻ tấn công có thể:

• Chiếm toàn bộ hệ thống Identity Manager
• Sửa, xóa hoặc tạo mới tài khoản có đặc quyền cao
• Di chuyển ngang sang hệ thống khác
• Đánh cắp dữ liệu nhạy cảm, thậm chí chiếm quyền toàn bộ hạ tầng doanh nghiệp

Đối với các tổ chức phụ thuộc vào quản lý danh tính tập trung, đây là kịch bản tồi tệ nhất.

Khuyến cáo cần vá ngay, không được chần chừ​

CISA và các chuyên gia an ninh mạng khuyến cáo các cơ quan, doanh nghiệp cần phải hoàn tất bản vá trước 12/12/2025. Các tổ chức vận hành Oracle Identity Manager nên:

• Cập nhật bản vá mới nhất từ Oracle mà không trì hoãn
• Kiểm tra log để phát hiện truy cập bất thường tới các endpoint có hậu tố “?WSDL” và “;.wadl”
• Rà soát thay đổi tài khoản, phiên đăng nhập và chính sách quyền hạn
• Cô lập hệ thống nếu phát hiện dấu hiệu bị khai thác
• Triển khai WAF với rule chặn truy cập tới endpoint nhạy cảm

CVE-2025-61757 cho thấy các lỗ hổng trong bộ lọc bảo mật có thể mở đường cho những cuộc tấn công nghiêm trọng. Việc CISA đưa lỗ hổng vào KEV không chỉ là cảnh báo kỹ thuật mà còn là lời nhắc mạnh mẽ rằng tin tặc đang khai thác nó ngay lúc này. Các tổ chức sử dụng Oracle Identity Manager cần hành động ngay để giảm thiểu rủi ro, tránh rơi vào kịch bản mất kiểm soát hệ thống danh tính.

WhiteHat​