Oracle corrige falha crítica após indícios de exploração antes do patch

Uma falha crítica no Oracle Identity Manager foi corrigida em outubro, mas análises independentes sugerem que a vulnerabilidade pode ter sido alvo de tentativas de exploração semanas antes do patch ser disponibilizado.

A vulnerabilidade, identificada como CVE-2025-61757, descoberta e reportada à Oracle pela Searchlight Cyber, permite execução remota de código antes de qualquer autenticação e combina um bypass de autenticação com execução arbitrária de código.

Segundo a empresa, esta cadeia de exploração abre caminho a compromissos totais de sistemas, manipulação de fluxos de autenticação, escalada de privilégios e movimentos laterais em infraestruturas críticas, incluindo o risco de acesso a servidores que tratam PII e credenciais.

O SANS Technology Institute analisou logs dos seus honeypots após a Searchlight ter divulgado informação técnica e código de prova de conceito. Os investigadores identificaram atividade suspeita entre 30 de agosto e 9 de setembro, semanas antes da correção, incluindo vários pedidos de POST com o mesmo user agent a partir de diferentes endereços IP.

Note-se que estes mesmos IP já tinham sido associados a scans para outras vulnerabilidades, como a falha em produtos Liferay, identificada como CVE-2025-4581, e tentativas relacionadas com o caso Log4j.

À SecurityWeek, a Oracle limitou-se a enviar a ligação para o aviso de outubro, sem qualquer esclarecimento adicional, não confirmando nem descartando atividade maliciosa.

A Searchlight, contudo, confirmou que a atividade detetada pelo SANS tem origem nos seus próprios investigadores, como parte do processo de análise da vulnerabilidade e de notificação às organizações potencialmente afetadas.