В базу данных уязвимостей (BDU) была внесена под номером BDU:2025-14708 критическая уязвимость в системе управления идентификацией Oracle Identity Manager. Проблема, получившая идентификатор CVE-2025-61757, затрагивает компонент REST WebServices и связана с полным отсутствием проверки подлинности для критически важной функции. Эксплуатация этой уязвимости позволяет удаленному злоумышленнику вызвать полный отказ в обслуживании (Denial of Service, DoS) целевой системы, используя стандартные HTTP-запросы. Проще говоря, атакующий может "положить" сервер, даже не зная логина и пароля.
Детали уязвимости
Уязвимость классифицируется как "Отсутствие аутентификации для критичной функции" (CWE-306) и относится к категории уязвимостей кода. Она затрагивает две основные версии популярного корпоративного решения: Oracle Identity Manager 12.2.1.4.0 и 14.1.2.1.0. Данное программное обеспечение входит в состав платформы Oracle Fusion Middleware и широко используется крупными организациями для централизованного управления учетными записями пользователей, их ролями и доступом. Следовательно, успешная атака может парализовать ключевой элемент инфраструктуры безопасности предприятия, заблокировав процессы авторизации и управления доступом.
Оценка по методологии CVSS (Common Vulnerability Scoring System) подтверждает исключительно высокую степень опасности. По шкале CVSS 2.0 уязвимость получила максимально возможный базовый балл 10.0 (вектор AV:N/AC:L/Au:N/C:C/I:C/A:C). Более современная версия CVSS 3.1 присваивает ей 9.8 баллов из 10 (вектор AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H). Такие показатели означают, что для атаки не требуются ни специальные условия, ни привилегии, ни взаимодействие с пользователем. Угроза реализуется удаленно через сеть и потенциально ведет к полной компрометации конфиденциальности, целостности и доступности системы.
Наиболее тревожным аспектом является наличие публичного эксплойта, то есть инструмента для эксплуатации уязвимости. Этот факт значительно повышает вероятность реальных атак. Агентство кибербезопасности и инфраструктуры США (CISA) уже внесло CVE-2025-61757 в свой каталог известных эксплуатируемых уязвимостей. Следовательно, злоумышленники, включая группы, связанные с государственными интересами (Advanced Persistent Threat, APT), активно применяют эту уязвимость в своих кампаниях. Основной способ эксплуатации классифицируется как "Нарушение аутентификации", что прямо соответствует природе ошибки.
К счастью, производитель оперативно отреагировал на угрозу. Уязвимость уже подтверждена и устранена компанией Oracle. Информация о проблеме и патчах была опубликована в рамках ежеквартального цикла обновлений безопасности (Critical Patch Update, CPU) за октябрь 2025 года. Единственным надежным способом устранения риска является немедленное применение обновлений программного обеспечения, предоставленных вендором. Администраторам настоятельно рекомендуется обратиться к официальному бюллетеню Oracle и установить все необходимые исправления.
Таким образом, CVE-2025-61757 представляет собой серьезную и актуальную угрозу. Ее критический статус, наличие работающего эксплойта и воздействие на системы управления доступом делают ее приоритетной для устранения. Организациям, использующим затронутые версии Oracle Identity Manager, необходимо в срочном порядке проверить свои системы и применить патчи, чтобы исключить риск дестабилизирующей атаки, способной нарушить ключевые бизнес-процессы.
Ссылки
- https://bdu.fstec.ru/vul/2025-14708
- https://www.cve.org/CVERecord?id=CVE-2025-61757
- https://www.oracle.com/security-alerts/cpuoct2025.html#AppendixFMW
