CISA เตือนช่องโหว่ RCE บน Oracle Identity Manager ถูกใช้โจมตีจริงแล้ว

CISA ออกคำเตือนเกี่ยวกับช่องโหว่ CVE-2025-61757 บน Oracle Identity Manager ที่ทำให้แฮกเกอร์สามารถรันคำสั่งได้โดยไม่ต้องยืนยันตัวตน โดยพบว่าถูกใช้โจมตีจริงแล้ว

ช่องโหว่ดังกล่าวเป็นประเภท Pre-authentication Remote Code Execution (RCE) ค้นพบโดยทีมวิจัยจาก Searchlight Cyber สาเหตุเกิดจาก authentication bypass ใน REST APIs ของ Oracle Identity Manager โดยแฮกเกอร์สามารถหลอก security filter ให้ถือว่า protected endpoints เป็น public ได้ด้วยการเพิ่ม parameter เช่น ?WSDL หรือ ;.wadl ต่อท้าย URL เมื่อเข้าถึงได้แล้ว ผู้โจมตีสามารถใช้ Groovy script compilation endpoint เพื่อรันโค้ดอันตรายได้

Oracle ได้ปล่อยแพตช์แก้ไขช่องโหว่นี้ในชุดอัปเดตความปลอดภัยเดือนตุลาคม 2025 เมื่อวันที่ 21 ตุลาคมที่ผ่านมา อย่างไรก็ตาม ข้อมูลจาก SANS Technology Institute ชี้ว่าช่องโหว่นี้อาจถูกใช้โจมตีในรูปแบบ zero-day ตั้งแต่วันที่ 30 สิงหาคม ก่อน Oracle จะออกแพตช์ด้วยซ้ำ โดยพบ IP address 3 แห่งที่สแกนหาช่องโหว่นี้ แต่ทั้งหมดใช้ browser user agent เดียวกัน แสดงว่าน่าจะเป็นผู้โจมตีรายเดียวกัน

CISA ได้เพิ่มช่องโหว่นี้เข้าไปใน Known Exploited Vulnerabilities (KEV) catalog และกำหนดให้หน่วยงานรัฐบาลกลางต้องแพตช์ภายในวันที่ 12 ธันวาคมนี้ตาม Binding Operational Directive (BOD) 22-01 ช่องโหว่นี้มีความเสี่ยงสูงเนื่องจากสามารถโจมตีได้โดยไม่ต้องมีสิทธิ์เข้าถึงระบบก่อนหน้า ผู้ดูแลระบบที่ใช้งาน Oracle Identity Manager ควรอัปเดตแพตช์โดยด่วน

ที่มา: https://www.bleepingcomputer.com/news/security/cisa-warns-oracle-identity-manager-rce-flaw-is-being-actively-exploited/