CISA Oracle Identity Manager’dagi faol ekspluatatsiya qilinayotgan RCE zaifligi haqida ogohlantirdi
Kiberxavfsizlik bo‘yicha AQShning asosiy muassasalaridan biri — CISA (Cybersecurity and Infrastructure Security Agency) — tashkilotlar va davlat muassasalarini Oracle Identity Manager (OIM) tizimida aniqlangan nihoyatda xavfli zaiflik tufayli darhol choralar ko‘rishga chaqirmoqda. Zero, zaiflik allaqachon real hujumlarda qo‘llanila boshlangani tasdiqlangan.
CVE-2025-61757 sifatida qayd etilgan ushbu xato tizimga hech qanday autentifikatsiya talab qilmasdan, masofadan turib ixtiyoriy kod bajarish (RCE) imkonini beradi. Bu esa korporativ tarmoqlar, davlat xizmatlari va yirik infratuzilmalarning to‘liq buzib kirilishi bilan yakunlanishi mumkin.
Oracle Cloud’dagi katta darajadagi buzilishdan so‘ng aniqlangan tahdid
Yil boshida Oracle Cloud login xizmati bilan bog‘liq yirik ma’lumotlar buzilishi sodir bo‘lgandi — 6 milliondan ortiq yozuvlar ochiqlanib ketgan. Shundan so‘ng Searchlight Cyber tadqiqotchilari Oracle Cloudning hujum yuzasini chuqur tahlil qilar ekan, aynan shu tizimlar tarkibida ishlatiladigan Oracle Identity Governance Suite 12c paketida og‘ir zaiflikni aniqladi.
O‘rganishlar shuni ko‘rsatdiki, muammo autentifikatsiya jarayonlarini boshqaruvchi SecurityFilter mexanizmining noto‘g‘ri ishlashi bilan bog‘liq. Dasturchilar WADL (Web Application Description Language) fayllariga erkin murojaatni ruxsatlash uchun maxsus oq ro‘yxat (whitelist) yaratgan, ammo Java URI-larni qayta ishlash prinsipi hisobga olinmagan.
Natijada hujumchilar URL manziliga ;.wadl ko‘rinishidagi maxsus matrix-parameter qo‘shish orqali autentifikatsiyani butunlay chetlab o‘tishlari mumkin.
Oddiy URL manipulyatsiyasi orqali autentifikatsiyani chetlab o‘tish
Zaiflik mojaro manbai — serverning URLni ikki xil talqin qilishi:
- Server WADL fayli so‘ralmoqda deb o‘ylaydi, shuning uchun autentifikatsiya talab qilmaydi.
- Java esa buni to‘liq amal qiladigan API chaqirig‘i sifatida qayta ishlaydi.
Shu tarzda hujumchi quyidagi kabi himoyalangan endpointlarga hech qanday login-parolsiz kira oladi:
/iam/governance/applicationmanagement
Bu esa tizimning eng muhim boshqaruv funksiyalarini to‘liq ochib beradi.
Groovy skript kompilyatori orqali masofadan kod bajarish
Avtorizatsiya chetlab o‘tilgach, hujumchi groovyscriptstatus endpointidan foydalanib RCE hujumini amalga oshirishi mumkin.
Ushbu endpoint aslida Groovy skriptlarini faqat sintaksis tekshirish uchun mo‘ljallangan. Ammo tahlil jarayonida u skriptni kompilyatsiya qiladi — bu jarayonda esa:
- @ASTTest annotatsiyasi yordamida kompilyator bajaradigan kodni “sinov” ichiga joylash mumkin.
- Kompilyator skriptni tekshirish jarayonida ushbu kodni ishga tushiradi.
Natijada oddiy sintaksis tekshiruv punkti to‘liq masofaviy buyruqlarni bajaruvchi shell ga aylanadi.
Bu usul har qanday autentifikatsiyasiz tizimni to‘liq ekspluatatsiya qilish imkonini beradi.
Nima uchun bu zaiflik juda xavfli?
CVE-2025-61757’ning xavfini oshiruvchi omillar:
- 0 ta autentifikatsiya talabi — kirish uchun hech narsa kerak emas;
- Oddiy va turg‘un ekspluatatsiya metodi;
- To‘liq tizim nazoratini qo‘lga olish imkoniyati;
- Ransomware guruhlari, APTlar va davlat homiyligidagi kiberqo‘shinlar uchun juda jozibali nishon.
Ayniqsa hukumat tizimlari va yirik korporativ tuzilmalar uchun Oracle Identity Manager — autentifikatsiya boshqaruvining markaziy komponenti hisoblanadi. U qulagan taqdirda butun infratuzilma xavf ostida qoladi.
Zaiflikka oid texnik ma’lumot
| CVE ID | Ta’sir qiluvchi mahsulot | Zaiflik turi | Ta’sir darajasi | Jiddiylik |
|---|---|---|---|---|
| CVE-2025-61757 | Oracle Identity Governance Suite 12c (12.2.1.4.0) | Pre-Authentication RCE | Masofaviy kod bajarish, to‘liq tizim egallash | Critical 9.8 |
| CVE-2021-35587 | Oracle Access Manager | Pre-Authentication RCE | Ma’lumot o‘g‘irlash, tenant kompromati | Critical |
CISA tavsiyalari
CISA barcha tashkilotlarga quyidagilarni tavsiya qiladi:
- Zudlik bilan barcha tegishli patchlarni o‘rnatish.
- Zararlangan yoki zaif bo‘lishi mumkin bo‘lgan OIM xizmatlarini internetdan ajratish.
- Tarmoq perimetrlari orqali REST endpointlarga kirishni keskin cheklash.
- Groovy skriptlar bilan ishlovchi barcha serverlarni qo‘shimcha monitoring ostiga olish.
- Mavjud hujum izlarini aniqlash uchun loglarni tahlil qilish.
Oracle Identity Manager’da aniqlangan ushbu zaiflik — so‘nggi yillarda korporativ autentifikatsiya xizmatlariga qarshi kuzatilgan eng xavfli kamchiliklardan biridir. Oddiy URL manipulyatsiyasi orqali autentifikatsiyani chetlab o‘tish va Groovy kompilyatori orqali to‘liq masofaviy kod bajarilishi — tajovuzkorlarga butun infratuzilmani qo‘lga olish imkonini beradi.
Shu bois barcha tashkilotlar xavfsizlik yamoqlarini darhol o‘rnatishi, tizimni tashqi tarmoqlardan ajratishi va monitoringni kuchaytirishi zarur.
