Критическая уязвимость в Oracle Identity Manager эксплуатировалась до выхода заплатки

Техническая суть уязвимости оказалась достаточно простой. Все URL-адреса, заканчивающиеся на ".wadl", были исключены из процедуры аутентификации. При этом простое добавление ".wadl" к адресу не работало, поскольку указывало на несуществующий файл. Специалисты обнаружили, что эффективным решением является добавление ";.wadl" для доступа к произвольным URL. В качестве доказательства концепции они привели пример: /iam/governance/applicationmanagement/templates;.wadl, показав, как это может привести к удаленному выполнению кода.

Анализ журналов событий выявил реальные случаи эксплуатации данной уязвимости. В период с 30 августа по 9 сентября 2024 года зафиксировано многократное обращение к URL /iam/governance/applicationmanagement/api/v1/applications/groovyscriptstatus;.wadl. Это произошло задолго до того, как Oracle выпустила исправление проблемы. Наблюдались запросы с трех различных IP-адресов: 89.238.132[.]76, 185.245.82[.]81 и 138.199.29[.]153. При этом все они использовали идентичный пользовательский агент, что указывает на возможную деятельность одного злоумышленника или группы.

Используемый злоумышленником пользовательский агент соответствовал браузеру Chrome версии 60: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/60.0.3112.113 Safari/537.36. Все зафиксированные запросы были POST-запросами с размером полезной нагрузки 556 байт. К сожалению, содержимое телов запросов не сохранилось в логах, что не позволяет точно определить характер выполняемых операций.

Дополнительный анализ показал, что те же IP-адреса одновременно проводили сканирование на наличие других известных уязвимостей. В частности, отслеживались попытки доступа к /o/portal-settings-authentication-opensso-web/com.liferay.portal.settings.web/test_opensso.jsp, связанной с CVE-2025-4581. Также фиксировались проверки, напоминающие поиск уязвимостей в рамках программ bug bounty, и попытки эксплуатации уязвимостей в Log4j.

Эксперты по кибербезопасности отмечают, что подобная тактика характерна для злоумышленников, проводящих масштабное сканирование интернета в поисках легко эксплуатируемых уязвимостей. Особую озабоченность вызывает тот факт, что атаки происходили в течение продолжительного периода до выпуска исправления. Это подчеркивает важность своевременного применения обновлений безопасности для продуктов Oracle.

Специалисты рекомендуют организациям, использующим Oracle Identity Manager, немедленно установить октябрьское обновление безопасности. Дополнительно следует проанализировать журналы доступа за август и сентябрь на предмет подозрительной активности, соответствующей описанным паттернам.

Данный инцидент в очередной раз демонстрирует, насколько быстро злоумышленники начинают эксплуатацию новых уязвимостей. При этом даже относительно простые недостатки системы безопасности могут привести к серьезным последствиям, включая удаленное выполнение кода. Киберпреступники часто сочетают поиск нескольких уязвимостей одновременно, максимизируя вероятность успешного проникновения в систему.

IPv4

• 138.199.29.153
• 185.245.82.81
• 89.238.132.76