CVE-2025-61757

Oracle Fusion Middleware

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2025-11-21

Официальное описание

Oracle Fusion Middleware contains a missing authentication for critical function vulnerability, allowing unauthenticated remote attackers to take over Identity Manager.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость CVE-2025-61757 относится к классу CWE-306 (Missing Authentication for Critical Function). В компоненте Identity Manager продукта Oracle Fusion Middleware отсутствует надлежащая проверка учетных данных при обращении к критически важным функциям или внутренним API-эндпоинтам.

Это позволяет удаленному неаутентифицированному злоумышленнику отправлять специально сформированные запросы напрямую к уязвимому компоненту. В результате атакующий может выполнить административные действия, повысить привилегии или создать новые учетные записи с максимальными правами, что ведет к полной компрометации (Takeover) системы управления доступом (Identity Manager).

Как исправить

Единственным надежным способом устранения уязвимости является установка официального обновления безопасности (Critical Patch Update - CPU) от Oracle.

  1. Авторизуйтесь на портале My Oracle Support (MOS).
  2. Найдите патч, соответствующий вашей версии Oracle Fusion Middleware и операционной системы, согласно бюллетеню безопасности для CVE-2025-61757.
  3. Скачайте архив с патчем и распакуйте его на сервере.
  4. Остановите все службы Oracle Fusion Middleware (WebLogic Server, Node Manager, OIM Managed Servers).
  5. Перейдите в директорию с распакованным патчем.
  6. Убедитесь, что переменные окружения ORACLE_HOME и PATH (включающая путь к утилите OPatch) настроены корректно.
  7. Выполните проверку конфликтов перед установкой:
opatch prereq CheckConflictAgainstOHWithDetail -ph ./
  1. Если конфликтов не обнаружено, примените патч:
opatch apply
  1. Проверьте успешность установки патча:
opatch lsinventory
  1. Запустите службы Oracle Fusion Middleware в штатном режиме.

Временные меры

Если немедленная установка патча невозможна, необходимо применить компенсирующие меры для снижения риска эксплуатации:

  1. Ограничение сетевого доступа (Network Segmentation):
  2. Изолируйте серверы Identity Manager от публичного интернета.
  3. Настройте межсетевой экран (Firewall) таким образом, чтобы доступ к портам OIM (обычно 14000/14001) был разрешен только для доверенных IP-адресов администраторов или внутренних подсетей.

Пример ограничения доступа с помощью iptables (разрешаем только подсеть 10.0.0.0/8):

iptables -A INPUT -p tcp --dport 14000 -s 10.0.0.0/8 -j ACCEPT


iptables -A INPUT -p tcp --dport 14000 -j DROP
  1. Использование Web Application Firewall (WAF):
  2. Настройте правила WAF для блокировки аномальных запросов к административным URI компонента Identity Manager.

  3. Включите строгую проверку сессий и токенов авторизации на уровне балансировщика нагрузки или WAF.

  4. Мониторинг и алертинг (SIEM):

  5. Настройте повышенный уровень логирования для Oracle WebLogic и Identity Manager.
  6. Создайте правила корреляции в SIEM-системе для отслеживания успешных обращений к критичным эндпоинтам OIM с IP-адресов, не принадлежащих администраторам, а также для фиксации внезапного создания новых учетных записей с правами System Administrator.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей