This post is also available in: Português
O CVE-2025-61757 expõe uma falha extremamente grave no Oracle Identity Manager (OIM), parte essencial do Oracle Fusion Middleware, e já aparece na lista de vulnerabilidades exploradas ativamente pela CISA. A falha está no componente REST WebServices e permite que um invasor execute código remotamente antes mesmo de se autenticar, comprometendo por completo o sistema responsável por gerenciar identidades e acessos.
O papel da Oracle e a importância do Identity Manager
A Oracle é uma das principais fornecedoras globais de soluções corporativas, com forte presença em ambientes críticos que dependem de automação, segurança e gerenciamento de dados. Dentro desse ecossistema, o Oracle Identity Manager ocupa posição estratégica ao controlar o ciclo de vida de identidades, orquestrar permissões e aplicar políticas de segurança. Por isso, qualquer vulnerabilidade nesse sistema se torna automaticamente um risco de alto impacto.
Versões afetadas
A falha atinge diretamente as versões 12.2.1.4.0 e 14.1.2.1.0 do Oracle Identity Manager. Ambas utilizam o módulo REST WebServices, onde o erro foi identificado, e são comumente encontradas em ambientes que centralizam governança de identidade e acesso.
Entendendo a vulnerabilidade CVE-2025-61757
A CVE-2025-61757 permite execução remota de código (RCE) por meio de uma chamada HTTP, sem necessidade de credenciais e com baixa complexidade de ataque. Isso significa que o atacante consegue alcançar o serviço, disparar a exploração e obter controle total do OIM, abrindo caminho para manipulação de contas, criação de identidades privilegiadas e interferência em sistemas integrados.
O impacto é amplo porque o Identity Manager se conecta a diretórios LDAP, aplicações internas, sistemas legados, soluções em nuvem e fluxos automatizados. Uma única intrusão pode resultar em perda completa de controle sobre permissões e movimentação lateral acelerada dentro da rede.
Criticidade e CVSS
Com pontuação 9.8 no CVSS, a vulnerabilidade se classifica entre as mais críticas divulgadas em 2025. A ausência de autenticação, a facilidade de exploração e a capacidade de comprometer confidencialidade, integridade e disponibilidade justificam o grau de severidade elevado.
Exploração ativa confirmada pela CISA
A inclusão da CVE-2025-61757 no Known Exploited Vulnerabilities Catalog deixa claro que a ameaça não é teórica. A CISA identificou ataques reais, reforçando a urgência para que organizações implementem correções e monitorem suas superfícies de exposição. Ambientes que utilizam o módulo REST exposto diretamente para a internet se tornam alvos imediatos.
Impactos operacionais para as organizações
Um ataque bem-sucedido contra o Oracle Identity Manager coloca em risco todo o ecossistema corporativo. A partir do comprometimento, o invasor pode assumir o controle do gerenciamento de identidades, incluir ou alterar permissões, interferir nos fluxos automatizados e comprometer aplicações conectadas. Dependendo da arquitetura, também pode implantar backdoors, estabelecer persistência e causar interrupção operacional por meio da manipulação de acessos críticos.
Mitigações recomendadas
A Oracle disponibilizou as correções no Critical Patch Update de outubro de 2025, e a aplicação imediata dos patches é essencial.
Enquanto isso não for possível, recomenda-se reduzir a exposição do módulo REST, restringir acesso apenas a redes internas e monitorar atentamente logs de chamadas HTTP em busca de comportamentos atípicos.
Ajustes de hardening, revisão de permissões recentes e o uso de controles adicionais, como WAF, também contribuem para reduzir riscos durante o período de mitigação.
A CVE-2025-61757 reforça como vulnerabilidades em sistemas centrais de identidade têm potencial de gerar impactos sistêmicos. Com exploração ativa e severidade máxima, organizações devem tratar essa falha com prioridade absoluta, garantindo correções rápidas, maior visibilidade de eventos e práticas contínuas de segurança.
This post is also available in: Português
