أدرجت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) ثغرة أمنية حرجة تؤثر على Oracle Identity Manager في فهرس الثغرات الأمنية المعروفة التي يتم استغلالها، مشيرة إلى أدلة على استغلال نشط لها. هذه الثغرة، المعروفة بالرمز CVE-2025-61757، تمثل خطراً جسيماً يتطلب اهتماماً فورياً.
تتعلق الثغرة الأمنية المحددة بـ Oracle Identity Manager، وهي مشكلة حرجة تتمثل في غياب المصادقة لوظيفة أساسية. تسمح هذه الثغرة للمهاجمين عن بعد بتنفيذ تعليمات برمجية خبيثة دون الحاجة إلى مصادقة مسبقة، مما يضع أنظمة الهوية الحساسة في خطر كبير. وتؤثر الثغرة على الإصدارات 12.2.1.4.0 و 14.1.2.1.0 من البرنامج، وقد قامت Oracle بمعالجتها ضمن تحديثاتها الفصلية الأخيرة.
ثغرة Missing Authentication في Oracle Identity Manager
وفقاً لما ذكرته CISA، فإن “Oracle Fusion Middleware يحتوي على ثغرة غياب المصادقة لوظيفة حرجة، تسمح للمهاجمين عن بعد غير المصادق عليهم بالاستيلاء على Identity Manager”. هذا التقرير يسلط الضوء على خطورة الثغرة والطريقة التي يمكن بها للمهاجمين استغلالها للوصول غير المصرح به.
اكتشف باحثو Searchlight Cyber، آدم كيو وموهام شاد، هذه الثغرة، مشيرين إلى أنها تمنح المهاجم القدرة على الوصول إلى نقاط النهاية لواجهة برمجة التطبيقات (API). يمكن للمهاجمين من خلال هذه النقاط “التلاعب بتدفقات المصادقة، وتصعيد الامتيازات، والانتقال جانبياً عبر الأنظمة الأساسية للمؤسسة”.
آلية الاستغلال وntil>
تنبع هذه الثغرة من تجاوز مرشح أمني، يقوم بخداع النقاط النهائية المحمية لتُعامل كنقاط وصول عامة. يمكن تحقيق ذلك ببساطة عن طريق إضافة “?WSDL” أو “;.wadl” إلى أي عنوان URL. هذه المشكلة هي نتيجة لآلية قائمة على السماح (Allow-list) خاطئة، تعتمد على التعبيرات العادية أو مطابقة السلاسل النصية مع عنوان URL للطلب.
أوضح الباحثون أن “هذا النظام عرضة للأخطاء إلى حد كبير، وهناك عادة طرق لخداع هذه المرشحات لجعلها تعتقد أننا نصل إلى مسار غير مصادق عليه عندما لا نكون كذلك”.
يمكن بعد ذلك دمج تجاوز المصادقة هذا مع طلب إلى نقطة النهاية “/iam/governance/applicationmanagement/api/v1/applications/groovyscriptstatus” لتحقيق تنفيذ تعليمات برمجية عن بعد. يتم ذلك عن طريق إرسال طلب HTTP POST مُصمم خصيصاً. على الرغم من أن نقطة النهاية هذه مخصصة فقط للتحقق من بناء جملة كود Groovy وليس تنفيذه، إلا أن Searchlight Cyber تمكنت من “كتابة تعليق Groovy يتم تنفيذه وقت الترجمة، على الرغم من أن الكود المترجم لا يعمل فعلياً”.
مؤشرات على الاستغلال كـ Zero-Day
يأتي إدراج CVE-2025-61757 في فهرس KEV بعد أيام قليلة من تحليل قام به يوهانس بي. أولريش، عميد الأبحاث في معهد SANS للتكنولوجيا. كشف التحليل، الذي استند إلى سجلات أجهزة العسل (honeypot)، عن محاولات متعددة للوصول إلى عنوان URL “/iam/governance/applicationmanagement/api/v1/applications/groovyscriptstatus;.wadl” عبر طلبات HTTP POST بين 30 أغسطس و 9 سبتمبر 2025.
قال أولريش: “هناك العديد من عناوين IP المختلفة التي تقوم بالمسح بحثاً عنها، لكنها جميعاً تستخدم نفس وكيل المستخدم (user agent)، مما يشير إلى أننا قد نتعامل مع مهاجم واحد”. وأردف: “للأسف، لم نلتقط نصوص هذه الطلبات، لكنها كانت كلها طلبات POST. وأشار رأس طول المحتوى (content-length header) إلى حمولة بحجم 556 بايت”.
تشير هذه المؤشرات إلى أن الثغرة الأمنية ربما تم استغلالها كـ “ثغرة يوم الصفر” (zero-day) قبل فترة طويلة من إصدار Oracle للتصحيح. تم إدراج عناوين IP التي جاءت منها المحاولات، وهي 89.238.132[.]76، و 185.245.82[.]81، و 138.199.29[.]153.
في ضوء الاستغلال النشط، يُطلب من الوكالات الفيدرالية المدنية التنفيذية (FCEB) تطبيق التحديثات اللازمة بحلول 12 ديسمبر 2025، لتأمين شبكاتها. هذا الإجراء يأتي كجزء من جهود CISA لضمان الأمن السيبراني الوطني.