吳明宜美國網路安全暨基礎架構管理署 (CISA) 上周發佈命令,要求聯邦政府機構在 3 周時間內修補 Oracle Identity Manager (OIM) 一個遠端程式碼執行 (RCE) 漏洞,因為已經傳出實際攻擊。
這項漏洞編號 CVE-2025-61757,甲骨文在 10 月 21 日發佈安全更新修補,列為重大風險。漏洞已經名列 CISA 已知被濫用漏洞 (Known Exploited Vulnerability, KEV) 目錄,可讓具有網路存取權限的非驗證攻擊者,得以駭入 OIM,導致整台系統被接管。
CISA 警告,Oracle Fusion Middleware 包含一個驗證不當的重大漏洞,讓遠端攻擊者得以取得 Oracle Identity Manager 的控管權。 CISA 要求聯邦政府機構在 12 月 12 日之前修補漏洞,否則可能面臨懲處。
CISA 講得語義含糊,但發現本漏洞的 Searchlight Cyber 研究人員 Adam Kues 和 Shubham Shah 就直接了當剖析駭客如何濫用本漏洞。
研究人員指出,攻擊者只需發出一個 HTTP 請求,就能繞過 OIM 的驗證流程,而讓攻擊者取得遠端系統層控制權。 Oracle 十月份揭露本漏洞,卻未說明已經發生實際攻擊活動。
不過根據 SANS 網路風暴中心 (Internet Store Center, ISC) 院長 Johannes Ullrich 表示,可能早在 Oracle 之前許久就掌握了這項漏洞。 Ullrich 檢視了流量記錄 (log) 顯示在 8 月 30 日和 9 月 9 日之前就反覆出現濫用 OIM 漏洞的 URL,比甲骨文 10 月 21 日發佈更新早了好幾個星期。
雖然紀錄無法證實一定是駭客,但多半意謂未修補漏洞的偵察 (reconnaissance) 行動,證實 CVE-2025-61757 至少已遭到一個駭客組織濫用。
這項漏洞來的時機正值甲骨文 EBusiness Suite (EBS) 漏洞被 Clop 勒索軟體駭客接連攻擊。駭客利用 EBS 漏洞 CVE-2025-61882 或 CVE-2025-61884,竊取多家知名企業客戶或公司機密資訊。受害公司包括安聯人壽英國分公司 (Allianz UK) 、華盛頓郵報、哈佛大學,而科技業者包括羅技 (Logitech) 、博通 (Broadcom) 及施耐德電機 (Schneider Electric) 、艾默生電機 (Emerson Electric) 則是疑似遭駭,但未證實。
這突顯了甲骨文一季一次安全更新的作法已經緩不濟急,使客戶修補太慢而陷於駭客攻擊風險之中。甲骨文在 10 月 21 日發佈重大修補更新 (Critical Patch Update),修補了數十項漏洞。
甲骨文並未就零時差漏洞攻擊一事回應媒體。
來源:The Register