Kritische Zero-Day-Lücke in Oracle Identity Manager wird aktiv ausgenutzt : CISA warnt vor fehlender Authentifizierung, die Remote Code Execution ermöglicht
Eine kritische Zero-Day-Lücke in Oracle Identity Manager wird aktuell aktiv angegriffen. Sie erlaubt Remote Code Execution, ohne dass sich der Täter zuvor anmelden muss – ein direkter Zugriff auf das Herzstück der Identitäts- und Zugriffsverwaltung vieler Unternehmen.
Die Schwachstelle mit der Kennung CVE-2025-61757 besitzt einen CVSS-Wert von 9,8 und betrifft die Versionen 12.2.1.4.0 und 14.1.2.1.0 von Oracle Identity Manager. Oracle hat den Fehler im Rahmen der quartalsweisen Sicherheitsupdates behoben – doch die Ausnutzung begann bereits vorher.
CISA beschreibt das Problem klar: „Oracle Fusion Middleware enthält eine fehlende Authentifizierung für eine kritische Funktion, wodurch nicht authentifizierte Remote-Angreifer die vollständige Kontrolle über Identity Manager übernehmen können.“ Die Behörde hat die Schwachstelle deshalb in den Katalog der Known Exploited Vulnerabilities (KEV) aufgenommen und ruft zu sofortigen Sicherheitsupdates auf.
Die Sicherheitsexperten Adam Kues und Shubham Shah von Searchlight Cyber, die die Schwachstelle entdeckt haben, ordnen die Tragweite deutlich ein. „Durch die Lücke bekommen Angreifer Zugriff auf wichtige API-Endpunkte. Darüber können sie Authentifizierungsprozesse manipulieren, ihre Berechtigungen erhöhen und sich seitlich durch die zentralen Systeme eines Unternehmens bewegen.“
Ein einfacher Trick: Angehängte Zeichen verwandeln geschützte Endpunkte in offene
Der Kern des Problems ist ein fehlerhafter Sicherheitsfilter. Eigentlich geschützte Endpunkte lassen sich durch das einfache Anhängen von „?WSDL“ oder „;.wadl“ an die URI so manipulieren, dass sie wie öffentlich zugängliche Schnittstellen behandelt werden. Ursache ist eine Allow-Liste, die auf fehleranfälligen regulären Ausdrücken und simplen Zeichenketten-Vergleichen basiert. Die Forscher bringen es auf den Punkt: „Dieses System ist sehr fehleranfällig, und es gibt meist Wege, diese Filter auszutricksen.“
Auf diese Weise gelangen Angreifer an hochsensible Schnittstellen – darunter der Endpunkt /iam/governance/applicationmanagement/api/v1/applications/groovyscriptstatus. Dieser ist eigentlich nur dafür gedacht, die Syntax von Groovy-Code zu überprüfen. Searchlight Cyber zeigte jedoch, dass sich über einen präparierten HTTP-POST eine Groovy-Annotation einschleusen lässt, die bereits beim Kompilieren Code ausführt. Das Resultat: Remote Code Execution ohne Authentifizierung.
Hinweise auf Zero-Day-Ausnutzung bereits Wochen vor dem Patch
Der Sicherheitsanalyst Johannes B. Ullrich vom SANS Technology Institute fand in Honeypot-Daten mehrere verdächtige Zugriffsversuche zwischen dem 30. August und dem 09. September 2025. Angegriffen wurde dabei die URL
/iam/governance/applicationmanagement/api/v1/applications/groovyscriptstatus;.wadl
über HTTP-POST-Anfragen. Laut Ullrich nutzten mehrere IP-Adressen denselben User-Agent, was auf einen einzelnen Angreifer schließen lässt. „Der Content-Length-Header wies auf ein Payload von 556 Byte hin“, erklärte er.
Diese frühen Spuren legen nahe, dass die Schwachstelle als Zero-Day ausgenutzt wurde, also bevor Oracle überhaupt einen Patch bereitstellte. Die beobachteten Ursprungsadressen der Angriffe waren:
89.238.132[.]76
185.245.82[.]81
138.199.29[.]153
Behördliche Vorgaben erhöhen den Druck
Da die Lücke aktiv ausgenutzt wird, verpflichtet CISA alle Behörden des Federal Civilian Executive Branch, die bereitgestellten Patches bis zum 12. Dezember 2025 einzuspielen. Für Unternehmen weltweit gilt jedoch dasselbe: Systeme müssen schnellstmöglich aktualisiert werden, um Missbrauch in kritischen Identitätsumgebungen zu verhindern.
Die Schwachstelle zeigt einmal mehr, wie gefährlich fehlerhafte Authentifizierungsmechanismen im Herzen einer Identitätsinfrastruktur sein können – und wie frühzeitig, koordiniert und zielgerichtet Angreifer nach verwundbaren Systemen suchen.