CISA Peringatkan Celah RCE Oracle Identity Manager yang Sedang Dieksploitasi Aktif
Badan Keamanan Siber dan Infrastruktur AS (CISA) mengeluarkan peringatan mendesak terkait kerentanan serius pada Oracle Identity Manager yang dilacak sebagai CVE-2025-61757. Celah ini telah dieksploitasi dalam serangan nyata dan berpotensi digunakan sebagai zero-day sebelum tambalan keamanan dirilis.
Kerentanan ini merupakan celah pre-authentication remote code execution (RCE) yang ditemukan oleh analis Searchlight Cyber. Masalah berawal dari bypass autentikasi pada REST API Oracle Identity Manager, di mana penyerang dapat menipu filter keamanan agar memperlakukan endpoint terlindungi sebagai akses publik hanya dengan menambahkan parameter seperti ?WSDL atau ;.wadl pada URL.
Setelah bypass berhasil, akses terbuka mengarah ke endpoint Groovy yang biasanya hanya digunakan sebagai proses kompilasi dan tidak mengeksekusi skrip. Namun, melalui fitur annotation processing, endpoint ini dapat disalahgunakan untuk menjalankan kode berbahaya pada saat kompilasi, membuka jalan bagi eksekusi kode jarak jauh tanpa autentikasi.
Rangkaian kelemahan ini memungkinkan penyerang mendapatkan kontrol penuh terhadap sistem Oracle Identity Manager yang belum diperbarui. Oracle telah merilis tambalan sebagai bagian dari pembaruan keamanan Oktober 2025 pada 21 Oktober.
Searchlight Cyber merilis laporan teknis lengkap yang menjabarkan detail eksploitasi, mempermudah penyerang lain untuk memanfaatkan celah ini. Para peneliti menilai kerentanan ini relatif mudah dieksploitasi jika dibandingkan kerentanan lain pada produk Oracle sebelumnya.
Status Eksploitasi: Aktif dan Berpotensi Zero-Day
CISA memasukkan CVE-2025-61757 ke dalam katalog Known Exploited Vulnerabilities (KEV), menandakan bahwa celah ini telah digunakan dalam serangan yang menargetkan sistem di dunia nyata. Lembaga pemerintah Federal Civilian Executive Branch (FCEB) diwajibkan menambal kerentanan ini paling lambat 12 Desember sesuai arahan BOD 22-01.
Indikasi eksploitasi zero-day terungkap setelah Johannes Ullrich dari SANS Technology Institute menemukan aktivitas akses mencurigakan sejak 30 Agustus hingga 9 September—periode sebelum tambalan resmi tersedia. Ia mencatat beberapa IP berbeda mengakses endpoint terkait menggunakan pola yang konsisten, menunjukkan kemungkinan serangan terkoordinasi.
Upaya eksploitasi tersebut mengarah ke endpoint berikut, selaras dengan teknik yang dijelaskan dalam laporan Searchlight Cyber:
/iam/governance/applicationmanagement/templates;.wadl/iam/governance/applicationmanagement/api/v1/applications/groovyscriptstatus;.wadl
Menurut catatan Ullrich, upaya ini bersumber dari tiga alamat IP berbeda namun menggunakan user agent yang sama, menyerupai Chrome 60 pada Windows 10, mengindikasikan satu pelaku atau kelompok yang sama.
Oracle belum memberikan pernyataan mengenai apakah mereka mendeteksi eksploitasi aktif di lingkungan pelanggan, dan laporan ini akan diperbarui jika ada informasi baru.
