Oracle Identity Manager CVE-2025-61757 Açıklamaları
Amerika Birleşik Devletleri Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), devlet kurumlarına Oracle Identity Manager’da bulunan ve CVE-2025-61757 olarak adlandırılan bir güvenlik açığının yamalanması gerektiğini duyurdu. Bu açığın, muhtemelen bir zero-day açığı olarak kullanıldığını belirtildi.
Oracle Identity Manager’in ön kimlik doğrulama uzaktan kod çalıştırma (RCE) zafiyeti, Searchlight Cyber analistleri Adam Kues ve Shubham Shahflaw tarafından keşfedildi. Sorunun kaynağı, Oracle Identity Manager’ın REST API’lerinde gerçekleşen bir kimlik doğrulama atlamasıdır. Bu, güvenlik filtrelerinin belirli URL parametreleri ekleyerek korunan uç noktaları herkese açık erişilebilir hale getirilmesiyle sağlanmaktadır. Örneğin, ?WSDL veya ;.wadl gibi parametreler eklenerek bu açığın istismar edilebileceği ortaya çıkmıştır.
Saldırıların Çehresi: Nasıl Çalışıyor?
Bu açıktan faydalanarak saldırganlar, doğrulama gerektirmeyen bir erişim elde ettiklerinde, Groovy script’e ulaşabilmektedir. Normalde bir script çalıştırmayan bu derleme uç noktası, Groovy’nin anotasyon işleme özellikleri kullanılarak kötü niyetli kod çalıştırmak için istismar edilebilir. Bu eşleşme, araştırmacıların Oracle Identity Manager’ın etkilenen örneklerinde ön kimlik doğrulama uzaktan kod çalıştırma sağladıkları zinciri oluşturmuştur.
Oracle, söz konusu açığı gidermek için Ekim 2025 güvenlik güncellemeleri kapsamında bir yamanın yayınlandığını bildirdi. Bu güncellemeler, 21 Ekim 2025 tarihinde yayımlanmıştır.
Bilinen Saldırılar ve Riskler
CISA, CVE-2025-61757 zafiyetini Bilinen İstismar Edilen Açıklar (KEV) kataloğuna ekleyerek, Federal Sivil Yürütme Dairesi (FCEB) kurumlarının bu açığı 12 Aralık tarihine kadar yamalayarak kapatmalarını zorunlu kıldı. Bu tür bir güvenlik açığı, kötü niyetli siber aktörler için sık kullanılan bir saldırı vektörü olduğundan, federal işletmeler için önemli riskler taşımaktadır.
CISA, açık hakkında daha fazla ayrıntı paylaşmazken, SANS Teknoloji Enstitüsü Araştırma Dekanı Johannes Ullrich, bu açığın 30 Ağustos itibarıyla esasen bir zero-day açığı olarak istismar edilebileceğine dikkat çekti. Ullrich, “Bu URL, 30 Ağustos ile 9 Eylül tarihleri arasında birçok kez erişildi; bu da Oracle sorunu yamalamadan önce gerçekleşti,” demiştir.
Saldırı Girişimlerinin Detayları
Ullrich, tehdit aktörlerinin belirtilen uç noktalara HTTP POST istekleri gönderdiğini ve bu taleplerin üç farklı IP adresinden geldiğini belirtti. Ancak, bu IP adreslerinin hepsi aynı kullanıcı ajanını kullanmıştır, bu da tek bir saldırganla muhatap olabileceğimizi göstermektedir. Bu tür saldırılara karşı önlem almak kritik önem arz etmektedir.
BleepingComputer, Oracle’a bu açığın saldırılarda kullanılıp kullanılmadığını sordu ve yanıt alana kadar haberin güncelleneceğini belirtti. Bu tür güvenlik açıkları, hem teknik açıdan hem de uygulama açısından dikkatlice ele alınmalıdır.
