A CVE-2025-61757 representa uma das falhas de segurança mais graves já registradas no ecossistema do Oracle Identity Manager (OIM), com impacto direto em ambientes corporativos de larga escala. O alerta emitido pela CISA confirma não apenas a severidade do problema, mas também que essa vulnerabilidade zero-day está sendo ativamente explorada por agentes maliciosos, colocando empresas e órgãos governamentais em risco imediato. Neste artigo, analisamos a falha, explicamos seu mecanismo de exploração e detalhamos as ações urgentes que administradores e equipes de segurança precisam adotar para mitigar os riscos. A vulnerabilidade do Oracle Identity Manager, classificada com CVSS 9,8, permite que atacantes não autenticados comprometam completamente o ambiente, reforçando por que este zero-day exige máxima prioridade.
O objetivo deste conteúdo é explicar de forma analítica, acessível e tecnicamente precisa como ocorre o ataque, por que o sistema é tão crítico e o que deve ser feito imediatamente. Para profissionais de TI, administradores de sistemas Linux e Oracle, equipes de cybersecurity e analistas de IAM, compreender essa falha não é opcional, é fundamental para proteger infraestruturas empresariais contra comprometimento total.
O Oracle Identity Manager é um dos pilares dos sistemas de gestão de identidade e acesso, frequentemente integrado a ambientes de missão crítica com milhares de usuários e permissões sensíveis. Por isso, a exploração ativa desse zero-day representa uma ameaça sistêmica que pode resultar em movimentação lateral, escalonamento de privilégios e comprometimento completo da infraestrutura corporativa.
A ameaça crítica: entendendo a CVE-2025-61757 e o alerta da CISA
A CVE-2025-61757, com pontuação CVSS 9,8, é uma falha de autenticação no Oracle Identity Manager que permite que atacantes executem ações privilegiadas sem credenciais válidas. O problema reside em um ponto vulnerável no fluxo de acesso que deveria aplicar validações obrigatórias, mas que pode ser contornado com facilidade usando parâmetros manipulados. Como resultado, um invasor remoto consegue acessar funcionalidades internas do OIM como se fosse um usuário legítimo.
O Oracle Identity Manager é responsável pela criação, provisionamento, governança e ciclo de vida de identidades corporativas. Uma falha que permite acesso sem autenticação não compromete apenas o próprio OIM, mas todos os sistemas e integrações conectados a ele. Essa característica faz com que essa vulnerabilidade tenha impacto excepcionalmente amplo, incluindo risco de sequestro de contas, manipulação de políticas IAM, criação de identidades falsas e execução remota de código (RCE). A CISA classificou essa vulnerabilidade como crítica e adicionou a falha ao seu catálogo KEV (Known Exploited Vulnerabilities), o que confirma evidências de exploração ativa e obriga órgãos governamentais a corrigirem seus sistemas imediatamente.
O mecanismo de ataque: filter bypass e RCE via Groovy
O vetor de exploração da CVE-2025-61757 se baseia em um filter bypass, no qual o atacante manipula o acesso a endpoints internos usando parâmetros específicos como ?WSDL ou ;.wadl. Esses sufixos induzem o serviço a pular filtros e controles que normalmente impediriam acesso direto a determinadas APIs. Uma vez que o filtro é contornado, o atacante consegue acessar o endpoint crítico /iam/governance/applicationmanagement/api/v1/applications/groovyscriptstatus, que aceita scripts Groovy para verificação de status.
O problema é que o Oracle Identity Manager utiliza anotações Groovy executadas em tempo de compilação, permitindo que scripts enviados ao endpoint sejam processados e executados no servidor. Isso abre a porta para um ataque completo de execução remota de código (RCE), mesmo sem qualquer forma de autenticação. Em cenários ofensivos observados, atacantes enviam payloads Groovy contendo comandos que disparam operações internas do sistema, acessam arquivos ou executam código arbitrário em nome do servidor. Em resumo, a falha combina dois elementos perigosos, primeiro um bypass de autenticação via manipulação de filtros, segundo um endpoint sensível que executa código Groovy em tempo real, permitindo que o invasor assuma o controle do ambiente de forma irrestrita.
Evidências de exploração zero-day e a linha do tempo
A comunidade de segurança tomou ciência dessa falha após registros de comportamento anômalo nos honeypots monitorados pelo SANS Technology Institute, que detectaram tentativas repetidas de acesso ao endpoint Groovy antes mesmo da divulgação oficial da vulnerabilidade. Pesquisadores observaram padrões de exploração automatizada tentando executar scripts via parâmetros de bypass, indicando que atacantes já estavam testando o vetor antes da publicação do patch.
Com essas descobertas, alertas foram enviados a equipes de segurança e à própria Oracle, que confirmou a vulnerabilidade e iniciou a distribuição das correções. A CISA, ao detectar evidências claras de exploração ativa, adicionou a CVE-2025-61757 ao catálogo KEV, em que só entram vulnerabilidades já exploradas em ambiente real. A inclusão automática no KEV demonstra a gravidade do cenário e reforça a urgência de correção para todos os administradores do Oracle Identity Manager. A partir da divulgação oficial, campanhas de exploração mais amplas começaram a surgir, com scanners automatizados tentando identificar instâncias vulneráveis expostas na internet. Isso indica que o zero-day já está totalmente operacional e incorporado ao arsenal de grupos maliciosos.
Ação obrigatória: aplicando o patch e as implicações para o FCEB
A Oracle já publicou correções para a vulnerabilidade, e administradores devem aplicar o patch imediatamente em todas as instâncias do Oracle Identity Manager. Isso inclui ambientes de produção, homologação, desenvolvimento e qualquer sistema conectado ao fluxo de identidades corporativas. A não aplicação imediata expõe o ambiente a riscos de comprometimento total, especialmente considerando que a falha já está sendo usada em ataques reais.
A CISA determinou que todas as agências federais FCEB devem corrigir essa vulnerabilidade até 12 de dezembro de 2025, prazo extremamente curto que reflete a urgência da ameaça. Mesmo organizações fora do governo devem seguir o mesmo espírito de urgência, pois o vetor é silencioso, remoto e fácil de automatizar. Administradores também devem verificar logs de acesso ao endpoint Groovy para identificar possíveis sinais de comprometimento. Caso haja qualquer evidência de chamados indevidos ao endpoint ou parâmetros suspeitos como ?WSDL, a recomendação é realizar uma investigação completa para identificar possíveis intrusões.
Conclusão e proteção de sistemas IAM
A CVE-2025-61757 destaca como vulnerabilidades em sistemas de gestão de identidade e acesso (IAM) podem gerar impactos devastadores em toda a infraestrutura corporativa. Uma falha crítica em um componente tão central como o Oracle Identity Manager tem efeitos em cascata que podem comprometer dados, identidades e sistemas dependentes. Por isso, a resposta precisa ser imediata, coordenada e completa.
Profissionais de segurança e administradores devem revisar suas versões do OIM, aplicar sem demora o patch disponibilizado pela Oracle e reforçar a supervisão de logs e comportamento anômalo no ambiente. A exploração ativa já está em curso, e ignorar esse risco pode resultar em comprometimentos severos. O momento exige vigilância contínua e ação rápida para garantir que a infraestrutura de identidades permaneça segura e resiliente.
