Kritisk Oracle Identity Manager-sårbarhed muligvis udnyttet som 0-dag

Eskil Sørensen

11.25.2025 09:28

Over 70 pct. sandsynlighed for udnyttelse

En alvorlig sårbarhed i Oracle Identity Manager (OIM) har fået stor opmærksomhed i sikkerhedsmiljøet. Fejlen, der blev offentliggjort af Searchlight Cyber, er en pre-authentication remote code execution-sårbarhed, hvilket betyder, at den kan udnyttes uden nogen form for login eller brugerinteraktion.

Det skriver Security Week.

Høj EPSS-score

Sårbarheden har id’et EUVD-2025-35253 / CVE-2025-61757. CVSS-scoren er 9,8 og EPSS på hele 71,16 pct.

Sårbarheden kombinerer en authentication bypass med mulighed for at køre vilkårlig kode. Det giver en angriber fuld kontrol over systemet, hvilket kan føre til kompromittering af servere, der håndterer personhenførbare oplysninger (PII) og legitimationsdata. Oracle har klassificeret fejlen som kritisk og rettet den i deres October 2025 Critical Patch Update (CPU).

Ifølge SANS Technology Institute viser honeypot-data tegn på, at sårbarheden kan være blevet udnyttet allerede mellem 30. august og 9. september, altså flere uger før Oracle udsendte en patch. Aktiviteten blev udført via POST-requests fra flere IP-adresser, men med samme user-agent – et tegn på en koordineret aktør.

Interessant nok er de samme IP-adresser tidligere set scanne for andre kendte sårbarheder, herunder Liferay (CVE-2025-4581) og Log4j, hvilket indikerer en bred interesse i kritiske enterprise-systemer.

Oracle henviser til advisory

Oracle har henvist til deres CPU-advisory uden yderligere kommentarer, mens Searchlight Cyber har bekræftet, at den aktivitet, SANS observerede, stammer fra deres egne forskningsaktiviteter og notifikationer til berørte organisationer. Det betyder, at der – indtil videre – ikke er bekræftet ondsindet udnyttelse, men risikoen er reel, da tekniske detaljer og PoC-kode nu er offentligt tilgængelige.

Oracle Identity Manager er en central komponent i mange organisationers identitets- og adgangsstyring. En kompromittering her kan give angribere adgang til hele infrastrukturen, eskalere privilegier og bevæge sig lateralt i netværket. Det gør sårbarheden ifølge Security Week den til en af de mest alvorlige i år.

Det anbefales, at october 2025 CPU er implementeret og logs overvåges for mistænkelig aktivitet, især POST-requests til OIM-endpoints. Endvidere foreslås det, at segmentering og ekstra overvågning af identitetsstyringssystemer overvejes.

Læs mere

https://www.securityweek.com/critical-oracle-identity-manager-flaw-possibly-exploited-as-zero-day/

Sårbarhed