کمیته رکن چهارم – آژانس امنیت سایبری و زیرساخت آمریکا (CISA) درباره یک آسیبپذیری اجرای کد از راه دور (RCE) در سامانه Oracle Identity Manager هشدار داده که بهطور فعال در حملات واقعی مورد سوءاستفاده قرار گرفته است.
به گزارش کمیته رکن چهارم، این نقص با شناسه CVE-2025-61757 نوعی آسیبپذیری اجرای کد پیش از احراز هویت (Pre-Auth RCE) است که در رابطهای REST مربوط به Oracle Identity Manager شناسایی شده و به مهاجمان اجازه میدهد بدون نیاز به ورود، دستورات دلخواه خود را از راه دور روی سرور اجرا کنند.
شرکت Searchlight Cyber که این آسیبپذیری را کشف کرده، اعلام کرده است نقص یادشده از طریق دور زدن مکانیزم احراز هویت در APIها قابل بهرهبرداری است. این شرکت همزمان با انتشار وصله امنیتی در بسته بهروزرسانی اکتبر ۲۰۲۵ اوراکل (۲۱ اکتبر) گزارش فنی کاملی درباره نحوه سوءاستفاده از این ضعف منتشر کرده است.
CISA این آسیبپذیری را به فهرست رسمی معایب مورد سوءاستفاده فعال (KEV) افزوده و به سازمانهای فدرال دستور داده تا بر اساس بخشنامه عملیاتی BOD 22-01، تا ۱۲ دسامبر نسبت به رفع آن اقدام کنند. این آژانس هشدار داده است که چنین آسیبپذیریهایی از متداولترین بردارهای حمله برای نفوذ به زیرساختهای حساس فدرال محسوب میشوند.
در همین حال، یوهانس اولریش، رئیس بخش پژوهش مؤسسه فناوری SANS، اعلام کرده که شواهد نشان میدهد بهرهبرداری از این نقص ممکن است از ۳۰ اوت آغاز شده و پیش از انتشار وصله امنیتی انجام شده باشد. او در گزارش خود در ISC Handler نوشت که میان ۳۰ اوت تا ۹ سپتامبر، درخواستهای HTTP POST مشکوک با الگوی مشخصی که با روش بهرهبرداری اعلامشده از سوی Searchlight Cyber تطابق دارد، از سه آدرس IP ارسال شدهاند. تمام این درخواستها از user-agent یکسان Chrome 60 در Windows 10 استفاده کردهاند که احتمال فعالیت یک مهاجم واحد را تقویت میکند.
در حالی که اوراکل تاکنون درباره وقوع حملات واقعی اظهار نظر نکرده، CISA تأکید کرده است که این آسیبپذیری تهدیدی جدی برای سامانههای هویت و دسترسی در زیرساختهای فدرال بهشمار میرود و باید فوراً وصلههای امنیتی مربوط به آن نصب شوند.
