Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng (CISA) đang khẩn trương khuyến nghị các tổ chức xử lý ngay một lỗ hổng bảo mật nghiêm trọng trong Oracle Identity Manager sau khi có báo cáo về việc khai thác tích cực. Đây là một cảnh báo CVE cần được ưu tiên xử lý.

CVE-2025-61757: Lỗ hổng nghiêm trọng trong Oracle Identity Manager

Lỗ hổng này được theo dõi dưới mã định danh CVE-2025-61757, cho phép kẻ tấn công từ xa không cần xác thực thực thi mã tùy ý trên các hệ thống bị ảnh hưởng. Điều này đặt ra mối đe dọa nghiêm trọng đối với các mạng doanh nghiệp và chính phủ. Chi tiết về lỗ hổng CVE này có thể tìm thấy tại CISA Known Exploited Vulnerabilities Catalog.

Bối cảnh phát hiện lỗ hổng và khai thác zero-day

Cảnh báo này xuất hiện sau một vụ xâm phạm lớn vào đầu năm nay liên quan đến dịch vụ đăng nhập của Oracle Cloud, làm lộ hơn sáu triệu bản ghi.

Các nhà nghiên cứu bảo mật tại Searchlight Cyber đã xác định lỗ hổng CVE này khi phân tích bề mặt tấn công của máy chủ đăng nhập Oracle Cloud. Cuộc điều tra tiết lộ rằng cùng một ngăn xếp phần mềm bị xâm phạm vào tháng 1, cụ thể là Oracle Identity Governance Suite, chứa một lỗi Remote Code Execution (RCE) nghiêm trọng trước xác thực.

Phát hiện này đã nêu bật một sự giám sát nghiêm trọng trong cách ứng dụng xử lý các bộ lọc xác thực. Điều này khiến hàng trăm người thuê nhà dễ bị xâm nhập hoàn toàn mà không yêu cầu bất kỳ thông tin xác thực hợp lệ nào. Thông tin chi tiết về nghiên cứu có tại Searchlight Cyber Research Center.

Phân tích Kỹ thuật và Khai thác Lỗ hổng CVE-2025-61757

Lỗ hổng CVE này nằm trong cơ chế SecurityFilter của ứng dụng, được tìm thấy trong cấu hình web.xml. Bộ lọc này được thiết kế để quản lý các kiểm tra xác thực nhưng lại dựa vào một danh sách trắng biểu thức chính quy (regular expression whitelist) bị lỗi.

Các nhà phát triển dự định cho phép truy cập không xác thực vào các tệp Web Application Description Language (WADL). Tuy nhiên, việc triển khai đã không tính đến cách Java diễn giải Uniform Resource Identifiers (URIs) yêu cầu.

Cơ chế Authentication Bypass

Kẻ tấn công có thể bỏ qua hoàn toàn xác thực bằng cách thêm các tham số ma trận cụ thể vào URL. Nhóm nghiên cứu đã chứng minh rằng việc thêm ;.wadl vào URI yêu cầu sẽ đánh lừa máy chủ.

Máy chủ sẽ coi yêu cầu này như một thao tác truy xuất WADL vô hại, trong đó servlet Java bên dưới xử lý nó như một lệnh gọi API hợp lệ.

Sự khác biệt logic này cấp cho kẻ tấn công quyền truy cập không hạn chế vào các điểm cuối REST bị hạn chế, chẳng hạn như /iam/governance/applicationmanagement. Đây là một bước quan trọng trong việc khai thác lỗ hổng CVE này.

Kỹ thuật Chiếm quyền Điều khiển Từ xa (RCE)

Một khi xác thực bị vượt qua, kẻ tấn công có thể tận dụng điểm cuối groovyscriptstatus để đạt được thực thi mã.

Mặc dù điểm cuối này chỉ dành để kiểm tra cú pháp các script Groovy mà không chạy chúng, nhưng nó vẫn thực hiện quá trình biên dịch.

Bằng cách inject một script chứa annotation @ASTTest, kẻ tấn công có thể buộc trình biên dịch Java thực thi mã tùy ý trong giai đoạn biên dịch. Kỹ thuật này biến một trình kiểm tra cú pháp thành một shell từ xa đầy đủ chức năng, cấp quyền chiếm quyền điều khiển hệ thống máy chủ.

// Đoạn mã Groovy minh họa để kiểm tra cú pháp (có thể bị khai thác)
// Kẻ tấn công có thể inject mã độc thông qua @ASTTest
@groovy.transform.ASTTest(value={
    assert java.lang.Runtime.getRuntime().exec("id")
})
def test_exploit() {}

Đoạn mã trên chỉ mang tính chất minh họa cách một annotation có thể được sử dụng. Trong thực tế, payload khai thác có thể phức tạp hơn để đạt được thực thi mã từ xa (RCE).

Tác động và Mối đe dọa Mạng từ Lỗ hổng CVE này

Lỗ hổng CVE-2025-61757 đặc biệt nguy hiểm vì nó không yêu cầu quyền truy cập hoặc thông tin xác thực trước đó. Sự kết hợp giữa việc bỏ qua xác thực đơn giản và một phương pháp đáng tin cậy để thực thi mã làm cho nó trở thành mục tiêu hấp dẫn cho các nhóm ransomware và các tác nhân được nhà nước bảo trợ. Đây là một rủi ro bảo mật cao và là mối đe dọa mạng đáng kể.

Biện pháp Khắc phục và Bảo vệ

Các tổ chức đang chạy Oracle Identity Governance Suite 12c được khuyến nghị áp dụng các bản vá bảo mật liên quan ngay lập tức hoặc cô lập các dịch vụ bị ảnh hưởng khỏi internet công cộng. Việc này là cần thiết để giảm thiểu rủi ro từ lỗ hổng CVE đã biết và đang bị khai thác.