Vulnerabilidad crítica en Oracle Identity Manager

Recientemente la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) a agregado una nueva vulnerabilidad critica a su catálogo de CVE en explotación. Esta vulnerabilidad identificada como CVE-2025-61757 afecta a el Indentity Manager de Oracle (OIM) el cual es el encargado de gestionar accesos, roles y permisos de usuario; pero algunas versiones del OIM se ven afectadas por una falla conocida como autentificación faltante para funciones críticas. 

 

El problema se origina específicamente en el modulo de servicio web del API REST, el cual expone varias funciones internas de la aplicación a través de endpoints accesibles vía HTTP o HTTPS. Esto está diseñado para ser utilizados únicamente por procesos que ya fueron autenticados o integraciones autorizadas, por lo tanto deberían estar protegidos mediante reglas estrictas de autenticación y autorización. Sin embargo, en el caso de este CVE el fallo se presenta en el componente responsable de validar las rutas entrantes, específicamente en el filtro de seguridad que determina qué URLs requieren autenticación y cuáles pueden considerarse públicas, este filtro utiliza un conjunto de reglas que deberían bloquear accesos no autorizados, pero que pueden ser evadidas mediante alteraciones sutiles en la estructura de la URL. 

 

La vulnerabilidad radica en la forma en que el filtro analiza las rutas y las pequeñas modificaciones maliciosas como agregar sufijos, parámetros no estándar o emplear separadores de rutas alternativos, generan que el producto afectado solicite peticiones hacia un recurso no protegido. Este comportamiento inesperado podría permitirles a autores de amenazas realizar un bypass de autenticación y obtener acceso a interfaces que solo deberían estar disponibles para administradores.  

 

Una vez los autores de amenazas logran obtener acceso tiene la posibilidad ejecutar scripts, crear cuentas con privilegios elevados, modificar permisos de usuario, deshabilitar mecanismos de seguridad, acceder a información confidencial incluso utilizar la plataforma como puente para comprometer otros sistemas conectados. La severidad y la puntuación de 9.8 asignada a esta vulnerabilidad está determinada por su facilidad de explotación ya no requiere privilegios ni credenciales previas y basta con que el atacante tenga acceso a la interfaz expuesta y conozca las variaciones de URL adecuadas para activar el bypass del filtro de seguridad. 

Versiones Afectadas

Productos	Versiones afectadas	Versiones corregidas
Oracle Indentity Manager	12.2.1.4.0	12.2.1.4.251011
Oracle Indentity Manager	14.1.2.1.0	14.1.2.1.251017

Recomendaciones

• En caso de contar con alguna de las versiones vulnerables, se recomienda actualizar a las versiones parcheadas para mitigar la vulnerabilidad. 

• Deshabilitar cualquier tipo de acceso de fuentes poco confiables. 

• Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque 

• Auditar herramientas de acceso remoto. (NIST CSF, 2024) 

• Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024) 

• Limitar estrictamente el uso de los protocolos SMB y RDP. 

• Realizar auditorías de seguridad. (NIST CSF, 2024) 

• Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)  

• Tener filtros de correo electrónico y spam. 

• Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social. 

• Realizar copias de seguridad, respaldos o back-ups constantemente. 

• Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos. 

• Revisar continuamente los privilegios de los usuarios. 

• Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante). 

• Habilitar la autenticación multifactor. 

Referencias

1. Oracle Critical Patch Update Advisory - October 2025. (2025, Octubre). ORACLE. Recuperado el 26 de Noviembre de 2025, en: https://www.oracle.com/security-alerts/cpuoct2025.html 
2. CISA advierte que la falla RCE del Oracle Identity Manager está siendo explotada activamente. (2025, Noviembre 21). Bleepingcomputer. Recuperado el 26 de Noviembre de 2025, en: https://www.bleepingcomputer.com/news/security/cisa-warns-oracle-identity-manager-rce-flaw-is-being-actively-exploited/ 
3. Dragora. (2025b, Noviembre 22). CISA alerta sobre CVE-2025-61757 en Oracle Identity Manager - Underc0de Blog. Underc0de Blog Recuperado el 26 de Noviembre de 2025, en: https://blog.underc0de.org/cisa-alerta-sobre-cve-2025-61757-en-oracle/ 
4. CVE-2025-61757 Impact, Exploitability, and Mitigation Steps | Wiz. (2025, Octubre 21). wiz.io. Recuperado el 26 de Noviembre de 2025, en: https://www.wiz.io/vulnerability-database/cve/cve-2025-61757 
5. Divya. (2025c, Noviembre 22). CISA Issues Warning as Hackers Target Oracle Identity Manager RCE Flaw. GBHackers Security | #1 Globally Trusted Cyber Security News Platform. Recuperado el 26 de Noviembre de 2025, en: https://gbhackers.com/cisa-issues-warning-as-hackers-target-oracle-identity-manager-rce-flaw/ 

El nombre es requerido.

El email es requerido.

El email no es válido.

El comentario es requerido.

↻

El captcha es requerido.

Enviar Comentario

Comentarios