Alerta Vermelho para Sysadmins: Falha Grave em Produto Oracle Sob Ataque

Em um movimento que deve fazer soar todos os alarmes nos data centers corporativos, a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) adicionou uma vulnerabilidade de execução remota de código (RCE) no Oracle Identity Manager ao seu catálogo de ameaças ativamente exploradas. Identificada como CVE-2025-61757, a falha permite que um invasor, sem qualquer tipo de autenticação, execute comandos maliciosos em sistemas vulneráveis. A Oracle já disponibilizou uma correção, mas a corrida contra o tempo começou, especialmente após a CISA determinar que todas as agências federais americanas apliquem o patch até 12 de dezembro.

O Gigante Adormecido e a Porta Aberta

Para quem não vive no mundo dos mainframes e dos sistemas corporativos que sustentam o mundo moderno, o Oracle Identity Manager (OIM) pode parecer um nome obscuro. No entanto, este é um daqueles gigantes silenciosos. Trata-se de uma plataforma robusta para gerenciar identidades e acessos em grandes organizações, controlando quem pode acessar o quê dentro de uma rede. É o tipo de software que, como um bom motor antigo, funciona por décadas nos bastidores, sendo absolutamente fundamental para a operação. E é exatamente por isso que uma vulnerabilidade como essa é tão perigosa.

A falha, descoberta e detalhada pelos analistas Adam Kues e Shubham Shahflaw da Searchlight Cyber, é, em suas palavras, “um tanto trivial e facilmente explorável”. A ironia aqui é quase palpável. Uma solução de segurança complexa, derrubada por um truque simples. Os pesquisadores explicaram que o problema reside em um bypass de autenticação nas APIs REST do OIM. Um invasor pode enganar um filtro de segurança simplesmente adicionando parâmetros como ?WSDL ou ;.wadl ao final de uma URL. Sabe aquela piada do "toc toc"? Aqui, o invasor nem precisa bater, ele só anexa um bilhete na porta e ela se abre.

Uma vez que o acesso não autenticado é obtido, o caminho está livre para um endpoint de script Groovy. Embora este endpoint não seja projetado para executar scripts diretamente, ele pode ser abusado durante o tempo de compilação por meio de recursos de processamento de anotações do Groovy para executar código malicioso. Em suma, é uma cadeia de exploração que transforma uma pequena brecha em um portão escancarado para o controle total do sistema.

Sinais de Fumaça: Um Possível Ataque Zero-Day

A situação se torna ainda mais tensa com as evidências de que a falha pode ter sido explorada como um zero-day, ou seja, antes mesmo que a Oracle soubesse do problema e pudesse lançar uma correção. Segundo um alerta de Johannes Ullrich, Reitor de Pesquisa do SANS Technology Institute, foram detectados acessos aos endpoints vulneráveis entre 30 de agosto e 9 de setembro deste ano. A correção da Oracle só foi liberada em 21 de outubro, como parte de suas atualizações de segurança mensais. Isso significa que os invasores tiveram semanas, talvez meses, de vantagem.

Ullrich detalha que as tentativas de exploração vieram de três endereços de IP distintos (89.238.132[.]76, 185.245.82[.]81 e 138.199.29[.]153), mas todas utilizavam o mesmo user agent de navegador, correspondente ao Google Chrome 60 no Windows 10. Conforme explicado em seu diário do ISC Handler, isso “sugere que podemos estar lidando com um único ator de ameaça”. Os endpoints visados pelos atacantes, como /iam/governance/applicationmanagement/templates;.wadl, correspondem exatamente à prova de conceito compartilhada posteriormente pelos pesquisadores da Searchlight Cyber, confirmando a natureza da exploração.

A Ordem da CISA: Corrijam Agora!

Diante da exploração ativa, a CISA não perdeu tempo. A agência incluiu oficialmente a CVE-2025-61757 em seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), uma lista que serve como um guia de prioridades para defensores de redes. A inclusão vem acompanhada de uma ordem direta, a Diretiva Operacional Vinculante (BOD) 22-01, que obriga as agências do Poder Executivo Civil Federal (FCEB) a corrigir a falha até o dia 12 de dezembro.

Em seu comunicado, a CISA advertiu: “Este tipo de vulnerabilidade é um vetor de ataque frequente para atores cibernéticos maliciosos e representa riscos significativos para a empresa federal”. Embora a ordem seja para órgãos do governo dos EUA, ela serve como um aviso sonoro para todas as empresas privadas ao redor do mundo que dependem do Oracle Identity Manager. Se os hackers já estão usando essa brecha, é apenas uma questão de tempo até que os ataques se espalhem em larga escala.

A lição que fica, mais uma vez, é um clássico da arqueologia digital: os sistemas mais antigos e estabelecidos, aqueles que consideramos a base de tudo, muitas vezes escondem as fundações mais frágeis. Para os administradores de sistemas, a mensagem é clara: o passado chama, e ele exige um patch de segurança. A hora de agir é agora, antes que um pedaço da história da sua infraestrutura se torne a porta de entrada para um desastre moderno.