Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) vừa thêm một lỗ hổng bảo mật cực kỳ nghiêm trọng trong Oracle Identity Manager vào danh mục các lỗ hổng đang bị khai thác tích cực (KEV). Lỗ hổng này với điểm CVSS 9.8, cho phép hacker chưa được xác thực thực thi mã từ xa và chiếm đoạt hoàn toàn quyền kiểm soát hệ thống. Các chuyên gia bảo mật khẳng định lỗ hổng này đã bị khai thác như một Zero-Day trước cả khi Oracle phát hành bản vá.

Lỗ hổng CVE-2025-61757 nằm trong Oracle Fusion Middleware và là một trường hợp thiếu xác thực cho một chức năng quan trọng. Theo các nhà nghiên cứu Adam Kues và Shubham Shah từ Searchlight Cyber, lỗ hổng cho phép hacker truy cập các API endpoints quan trọng, từ đó có thể thao túng luồng xác thực, leo thang đặc quyền và di chuyển ngang qua các hệ thống cốt lõi của tổ chức.

Kỹ thuật khai thác chủ yếu dựa trên việc vượt qua bộ lọc bảo mật bằng cách chèn chuỗi “?WSDL” hoặc “;.wadl” vào cuối URI, khiến các endpoint được bảo vệ bị hệ thống lầm tưởng là công khai. Lỗ hổng này sau đó được ghép nối với yêu cầu HTTP POST tới một endpoint kiểm tra cú pháp mã Groovy, cho phép hacker chèn một chú thích Groovy annotation thực thi ngay tại thời điểm biên dịch để đạt được Remote Code Execution.

Đáng báo động hơn, phân tích log honeypot của Johannes B. Ullrich tại SANS Technology Institute đã phát hiện các nỗ lực truy cập vào URL khai thác từ cuối tháng 8/2025, chứng minh lỗ hổng này đã bị tấn công như một Zero-Day trước khi bản vá được phát hành. Mặc dù Oracle đã vá lỗ hổng này trong bản cập nhật hàng quý gần nhất, CISA đã ban hành cảnh báo khẩn cấp, yêu cầu các cơ quan liên bang phải áp dụng bản vá cho các phiên bản bị ảnh hưởng (12.2.1.4.0 và 14.1.2.1.0) trước ngày 12 tháng 12 năm 2025 để đảm bảo an toàn mạng.