Falha no Oracle Identity Manager entra na lista de vulnerabilidades ativamente exploradas da CISA

A CISA confirmou que a vulnerabilidade CVE-2025-61757, corrigida em outubro no Oracle Identity Manager, está a ser explorada ativamente, apesar de a Oracle não reconhecer qualquer evidência de ataques e de persistirem inconsistências entre os relatos de investigadores envolvidos na descoberta da falha. As agências federais devem corrigir o problema até 12 de dezembro.

A vulnerabilidade, corrigida nos patches de outubro de 2025, permite que um atacante não autenticado execute código remotamente. Dias antes da confirmação oficial, a SecurityWeek já tinha avançado que a falha pode ter sido usada como zero day semanas antes de a Oracle publicar a correção.

A Searchlight Cyber, responsável pela descoberta da vulnerabilidade e que alertou a Oracle, tinha divulgado detalhes técnicos e código de prova de conceito. A empresa sublinhou que a exploração é trivial e pode abrir caminho a escalada de privilégios, movimentos laterais e exposição de dados sensíveis.

Com base nessa informação técnica, o SANS Technology Institute analisou os seus registos de honeypots e encontrou atividade suspeita entre 30 de agosto e 9 de setembro, proveniente de vários endereços IP. Os mesmos IP estavam associados à procura de outras falhas online e a ações típicas de programas de bug bounty.

A Searchlight disse à SecurityWeek que a atividade detetada pelo SANS pode ter origem nos seus próprios investigadores, bem como em esforços de notificação das organizações afetadas, o que lança dúvidas sobre a existência de ataques reais nesse período.

Até ao momento, a Oracle remete apenas para o boletim de segurança de outubro, que não faz qualquer referência a exploração ativa desta falha.