CibersegurançaNotícias

O “porteiro” da Oracle foi hackeado: entenda o Oracle Identity Manager exploit e o alerta da CISA

Falha crítica no Oracle Identity Manager coloca o “porteiro” da identidade corporativa em risco e exige aplicação imediata do patch de outubro.

Escrito por
Emanuel Negromonte
PorEmanuel Negromonte
Emanuel Negromonte é Jornalista, Mestre em Tecnologia da Informação e atualmente cursa a segunda graduação em Engenharia de Software. Com 14 anos de experiência escrevendo sobre...
Follow:
identity manager exploit cve 2025 61757

Se você administra ambientes Oracle, hoje é dia de alerta máximo. A CISA confirmou que a vulnerabilidade CVE-2025-61757 no Oracle Identity Manager não é mais apenas um risco teórico: ela entrou oficialmente no catálogo KEV (Known Exploited Vulnerabilities), com prazo até 12 de dezembro de 2025 para que agências federais dos EUA a corrijam.

Na prática, isso significa: há evidência concreta de que esse Oracle Identity Manager exploit está sendo usado em ataques reais. Se o seu ambiente ainda não recebeu o patch de outubro, você precisa tratá-lo como incidente em curso, não como tarefa de manutenção de rotina.

CISA confirma: ataques reais estão acontecendo

A falha CVE-2025-61757 afeta o Oracle Fusion Middleware, em específico o Oracle Identity Manager, e é classificada como “missing authentication for a critical function”. Em português claro: existe uma função crítica exposta sem autenticação adequada.

Explorando essa brecha, um atacante não autenticado consegue RCE (Execução Remota de Código) com severidade crítica (CVSS 9.8) – em muitos cenários, com um único request HTTP bem montado.

A CISA foi direta ao ponto ao colocar o CVE no KEV: a vulnerabilidade é explorada ativamente e representa risco para o governo americano e para qualquer organização que use Oracle Identity Manager exposto a redes potencialmente hostis. A agência só adiciona uma falha ao KEV quando há evidência confiável de exploração em ambiente real, não apenas PoCs em laboratório ou scans de pesquisa.

O porteiro-chefe comprometido: por que o Oracle Identity Manager é tão perigoso

iBuJHApm identity manager exploit cve 2025 61757 1
O “porteiro” da Oracle foi hackeado: entenda o Oracle Identity Manager exploit e o alerta da CISA 3

Pense no Oracle Identity Manager como o “porteiro-chefe” de uma grande empresa. Ele controla quem entra, quais portas cada funcionário pode abrir e o que pode fazer lá dentro.

A vulnerabilidade CVE-2025-61757 é o cenário do porteiro corrupto: qualquer estranho na calçada consegue enganar o sistema, assumir o lugar do porteiro e, a partir daí, abrir qualquer porta – criar contas, aumentar privilégios, mexer em políticas de acesso, acionar integrações com outros sistemas críticos.

De acordo com a análise técnica publicada pelos pesquisadores da Searchlight Cyber, é possível usar essa falha para:

  • Executar código remotamente no servidor de identidade (RCE).
  • Escalar privilégios dentro do ambiente IAM.
  • Se mover lateralmente pela rede, pivotando para outros sistemas corporativos.
  • Chegar a dados altamente sensíveis e sistemas de negócio, caso o Identity Manager seja o ponto central de governança de acesso.

Em outras palavras: quando o “porteiro-chefe” cai, não é só um sistema que está em risco – é toda a camada de identidade da empresa.

O mistério do zero-day: quem estava atacando?

Aqui entra a parte curiosa da história, que é o verdadeiro “plot twist” dessa narrativa de segurança.

Cronologia resumida:

  • Pesquisadores da Searchlight Cyber descobriram a vulnerabilidade e a reportaram à Oracle.
  • A correção foi incluída no Critical Patch Update de outubro de 2025, divulgado em 21 de outubro.(Oracle)
  • Em 20 de novembro, a Searchlight publicou detalhes técnicos e código PoC (Proof of Concept), destacando que a exploração é relativamente simples.(SC Media)
  • O SANS Technology Institute revisou logs de honeypots e encontrou tentativas de exploração entre 30 de agosto e 9 de setembro, vindas de vários IPs que também faziam scans para outros bugs e participavam de programas de bug bounty.

Até aí, parecia “apenas” um caso clássico de pesquisadores mapeando a superfície de ataque. A própria Searchlight afirmou a veículos de imprensa que aquele tráfego nos honeypots podia ser atribuído às atividades deles (pesquisa e notificação de organizações afetadas), e não necessariamente a atacantes maliciosos.

Só que, pouco depois dessa narrativa “tranquilizadora”, a CISA colocou o CVE-2025-61757 no catálogo KEV. E a agência é muito clara: uma falha só entra no KEV quando há evidência independente de exploração maliciosa, obtida por fontes confiáveis (telemetria governamental, parceiros, incidentes reais etc.).

Isso abre o mistério:

  • Se o tráfego visto pelo SANS era “só pesquisa”,
  • Mas a CISA agora confirma exploração real,

então é bastante provável que outros ataques, não públicos, tenham ocorrido – possivelmente como zero-day, antes mesmo do patch de outubro. É esse descompasso entre o que os pesquisadores viam e o que a CISA sabe que torna o caso tão sério.

O que administradores Oracle precisam fazer agora

Diante desse cenário, o recado para times de infraestrutura, IAM e segurança é direto: trate o Oracle Identity Manager exploit como incidente de alto risco, não apenas como mais uma entrada na fila de patching.

Passos práticos:

  1. Inventariar rapidamente
    • Identifique todos os ambientes que rodam Oracle Identity Manager (produção, homologação, DR, laboratórios “esquecidos”).
    • Confirme versão, exposição de rede (internet, VPN, parceiros, ambientes híbridos) e se o patch de outubro já foi aplicado.
  2. Aplicar o Critical Patch Update de outubro de 2025 sem adiamento
    • O CPU de outubro inclui a correção para CVE-2025-61757; não há mitigação elegante que substitua o patch.
    • Quem segue a lógica “esperar alguns meses para ver se o patch é estável” precisa rever essa estratégia aqui – é como deixar a porta da casa destravada sabendo que há ladrões circulando na vizinhança.
  3. Reforçar controles de borda e monitoramento
    • Se possível, limite a exposição do Oracle Identity Manager à internet pública (VPN, proxies autenticados, segmentação de rede).
    • Configure inspeção e alertas para padrões de requisições suspeitas contra APIs de governança e administração, especialmente se sua equipe usar regras de detecção sugeridas por pesquisadores (por exemplo, endpoints de checagem de scripts usados na exploração).
  4. Caçar indicadores de comprometimento
    • Revise logs de agosto em diante em busca de requisições estranhas, em volume ou origem, para o servidor de identidade.
    • Procure sinais de pós-exploração: criação de contas administrativas anômalas, alterações em workflows de aprovação, processos estranhos no host, agendamentos de tarefas fora do padrão.
    • Se houver qualquer dúvida razoável, considere o ambiente como potencialmente comprometido e conduza uma investigação forense mais profunda.
  5. Rever a estratégia para o “tier de identidade”
    • O episódio mostra, mais uma vez, como a camada de identidade é um single point of failure para toda a empresa.
    • Vale usar esse caso para justificar internamente ciclos de patching mais agressivos para sistemas IAM, controles extras de segmentação e monitoramento dedicado.

Em resumo: a história da CVE-2025-61757 não é “mais um patch da Oracle”. É um alerta de que o “porteiro-chefe” dos ambientes corporativos pode ser derrubado com um único pedido HTTP – e de que atacantes já entenderam isso antes de muita gente aplicar o patch.

TAGS:
Compartilhe este artigo
Nenhum comentário
Distribuições LinuxCódigo AbertoHardwareLinuxTecnologia

Seu Raspberry Pi agora fica perfeito em 4K: o que há de novo no Raspberry Pi OS Trixie

cynuAHLc raspberry pi os trixie debian 13 hidpi wayland

Raspberry Pi OS Trixie traz Debian 13, suporte a HiDPI e um desktop Wayland realmente moderno para o seu Raspberry Pi.

Por Emanuel Negromonte

Leia também

Posts sobre o mesmo assunto