Oracle Identity Manager (OIM) ist eine Identity and Access Management (IAM)-Lösung auf Unternehmensebene, die zur Verwaltung von Benutzerlebenszyklen und der Bereitstellung von Zugriffen über zahlreiche Unternehmensanwendungen hinweg eingesetzt wird. Aufgrund seiner zentralen Rolle ist es eine kritische Komponente der IT-Sicherheitsinfrastruktur, die häufig sensible Benutzerdaten und Anmeldeinformationen enthält.

Diese Schwachstelle stellt ein katastrophales Risiko dar. Sie ermöglicht es einem nicht authentifizierten Remote-Angreifer, die vollständige Kontrolle über den OIM-Server zu erlangen. Die Sicherheitslücke wird als leicht ausnutzbar eingestuft, wobei ein öffentlich verfügbarer Exploit existiert, was die Wahrscheinlichkeit aktiver Angriffe extrem hoch macht. Jede Organisation, die eine netzwerkseitig zugängliche und nicht aktualisierte Oracle Identity Manager-Instanz betreibt, ist unmittelbar von einer vollständigen Systemkompromittierung bedroht. Eine Verletzung des OIM-Systems könnte es einem Angreifer ermöglichen, unbefugte privilegierte Konten zu erstellen, was zu einem umfassenden Zugriff auf integrierte Unternehmenssysteme führen kann.

Produkt	Oracle Identity Manager
Datum	2025-12-06 00:20:23

Technische Zusammenfassung

Die Hauptursache für diese Schwachstelle ist ein nicht näher spezifizierter Fehler innerhalb der REST WebServices-Komponente von Oracle Identity Manager. Die Schwachstelle ermöglicht die Verarbeitung bösartiger Eingaben aus einer nicht authentifizierten Quelle, was zu einer Remote Code Execution (RCE) führt. Der CVSS 3.1-Score von 9.8 (Kritisch) spiegelt eine vollständige Beeinträchtigung der Vertraulichkeit, Integrität und Verfügbarkeit (CIA) wider.

Die Angriffskette stellt sich wie folgt dar:

1. Ein Angreifer identifiziert einen verwundbaren und netzwerkseitig erreichbaren Oracle Identity Manager-Server.
2. Der Angreifer sendet eine speziell präparierte, nicht authentifizierte HTTP-Anfrage an einen spezifischen REST-API-Endpunkt.
3. Der Webdienst der Anwendung validiert die Anfrage nicht korrekt, wodurch sie vom zugrunde liegenden Code verarbeitet werden kann.
4. Dies führt zur Ausführung von beliebigem Code mit den vollen Berechtigungen des OIM-Dienstkontos, was in einer vollständigen Kompromittierung des Hosts resultiert.

Obwohl die Namen der spezifischen Funktionen nicht offengelegt wurden, kann der logische Fehler konzeptionell als eine nicht validierte Remote-Eingabe dargestellt werden, die direkt an eine gefährliche Funktion übergeben wird:

// Konzeptionelles Beispiel - Kein tatsächlicher Code
public void handleRestRequest(HttpRequest request) {
    String vulnerableParameter = request.getParameter("data");
    // Die Schwachstelle liegt im Mangel an Validierung vor der Verarbeitung
    // des 'vulnerableParameter', was zur Codeausführung führen kann.
    processData(vulnerableParameter);
}

Betroffene Versionen:

• Oracle Identity Manager 12.2.1.4.0
• Oracle Identity Manager 14.1.2.1.0

Oracle hat Sicherheitspatches zur Behebung dieser Schwachstelle veröffentlicht. Die Existenz eines öffentlichen Exploits ist bestätigt.

Empfehlungen

• Patches sofort anwenden: Installieren Sie unverzüglich den von Oracle für CVE-2025-61757 veröffentlichten Sicherheitspatch auf allen verwundbaren Oracle Identity Manager-Instanzen.

• Mitigationsmaßnahmen:

  • Beschränken Sie den Netzwerkzugriff auf die Oracle Identity Manager-Anwendung, insbesondere auf die Ports der REST WebServices. Erlauben Sie den Zugriff nur von vertrauenswürdigen Hosts und internen Verwaltungsnetzwerken.
  • Platzieren Sie die Anwendung hinter einer Web Application Firewall (WAF) mit Regeln, die darauf ausgelegt sind, bösartige serialisierte Objekte oder anomale API-Anfragen zu prüfen und zu blockieren; dies sollte jedoch nur als vorübergehende Maßnahme und nicht als Ersatz für den Patch betrachtet werden.

• Threat Hunting und Überwachung:

  • Analysieren Sie die HTTP-Zugriffsprotokolle des Oracle Identity Manager-Servers auf ungewöhnliche oder fehlerhafte Anfragen an REST-API-Endpunkte, insbesondere solche, die von unbekannten oder externen IPs stammen.
  • Überwachen Sie unerwartete Kindprozesse, die vom Oracle Identity Manager-Dienstkonto gestartet werden (z. B. cmd.exe, /bin/bash, powershell.exe).
  • Überprüfen Sie auf anomale ausgehende Netzwerkverbindungen vom OIM-Server zu unerwarteten Zielen.

• Incident Response:

  • Wenn eine Kompromittierung vermutet wird, isolieren Sie den betroffenen Server sofort vom Netzwerk, um laterale Bewegungen zu verhindern.
  • Bewahren Sie Protokolle und Systemartefakte für forensische Untersuchungen auf.
  • Gehen Sie davon aus, dass alle auf dem OIM-Server verwalteten oder gespeicherten Anmeldeinformationen und Geheimnisse kompromittiert wurden. Initiieren Sie eine vollständige Rotation der Anmeldeinformationen für alle verbundenen Systeme und Benutzer.

• Defense-in-Depth:

  • Stellen Sie sicher, dass die Oracle Identity Manager-Anwendung in einer segmentierten Netzwerkzone bereitgestellt wird, um die Angriffsfläche zu begrenzen.
  • Betreiben Sie den OIM-Dienst mit den für seinen Betrieb minimal erforderlichen Berechtigungen.
  • Stellen Sie sicher, dass sichere und verifizierte Backups der OIM-Datenbank und der Systemkonfiguration verfügbar sind.

[Callforaction-THREAT-Footer]