CISA ព្រមានអំពីចំណុចខ្សោយដ៏សំខាន់ Zero-Day របស់ Oracle Identity Manager ដែលត្រូវបានកេងប្រវ័ញ្ចយ៉ាងសកម្ម

ទីភ្នាក់ងារសន្តិសុខតាមអ៊ីនធឺណិត និងហេដ្ឋារចនាសម្ព័ន្ធសហរដ្ឋអាមេរិក (CISA) បានបន្ថែមកំហុសសុវត្ថិភាពដ៏សំខាន់មួយដែលប៉ះពាល់ដល់ Oracle Identity Manager ទៅក្នុងកាតាឡុក Known Exploited Vulnerabilities (KEV) របស់ខ្លួន ដោយលើកឡើងពីភស្តុតាងនៃការកេងប្រវ័ញ្ចសកម្ម។

ចំណុចខ្សោយដែលកំពុងត្រូវបានលើកឡើងគឺ CVE-2025-61757 (ពិន្ទុ CVSS: 9.8) ដែលជាករណីនៃការផ្ទៀងផ្ទាត់ដែលបាត់សម្រាប់មុខងារសំខាន់មួយ ដែលអាចបណ្តាលឱ្យមានការប្រតិបត្តិកូដពីចម្ងាយដែលបានផ្ទៀងផ្ទាត់ជាមុន។ ចំណុចខ្សោយនេះប៉ះពាល់ដល់កំណែ 12.2.1.4.0 និង 14.1.2.1.0។ វាត្រូវបានដោះស្រាយដោយ Oracle ជាផ្នែកមួយនៃការអាប់ដេតប្រចាំត្រីមាសរបស់ខ្លួនដែលបានចេញផ្សាយកាលពីខែមុន។

CISA បាននិយាយថា "Oracle Fusion Middleware មានការផ្ទៀងផ្ទាត់ដែលបាត់សម្រាប់ចំណុចខ្សោយមុខងារសំខាន់មួយ ដែលអនុញ្ញាតឱ្យអ្នកវាយប្រហារពីចម្ងាយដែលមិនបានផ្ទៀងផ្ទាត់អាចគ្រប់គ្រង Identity Manager"។

អ្នកស្រាវជ្រាវផ្នែកអ៊ីនធឺណិត Searchlight លោក Adam Kues និងលោក Shubham Shah ដែលបានរកឃើញចំណុចខ្វះខាតនេះ បាននិយាយថា វាអាចអនុញ្ញាតឱ្យអ្នកវាយប្រហារចូលប្រើចំណុចបញ្ចប់ API ដែលវាអាចអនុញ្ញាតឱ្យពួកគេ "រៀបចំលំហូរផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ បង្កើនសិទ្ធិ និងផ្លាស់ទីទៅចំហៀងឆ្លងកាត់ប្រព័ន្ធស្នូលរបស់អង្គការ"។

ជាពិសេស វាកើតចេញពីការរំលងតម្រងសុវត្ថិភាពដែលបញ្ឆោតចំណុចបញ្ចប់ដែលបានការពារឱ្យត្រូវបានចាត់ទុកថាអាចចូលប្រើបានជាសាធារណៈដោយគ្រាន់តែបន្ថែម "?WSDL" ឬ ";.wadl" ទៅក្នុង URI ណាមួយ។ នេះជាលទ្ធផលនៃយន្តការបញ្ជីអនុញ្ញាតដែលមានកំហុសដោយផ្អែកលើកន្សោមធម្មតា ឬការផ្គូផ្គងខ្សែអក្សរប្រឆាំងនឹង URI សំណើ។

អ្នកស្រាវជ្រាវបានកត់សម្គាល់ថា "ប្រព័ន្ធនេះងាយនឹងមានបញ្ហា ហើយជាធម្មតាមានវិធីដើម្បីបញ្ឆោតតម្រងទាំងនេះឱ្យគិតថាយើងកំពុងចូលប្រើផ្លូវដែលមិនបានផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវនៅពេលដែលយើងមិនចូល"។

បន្ទាប់មក ការរំលងការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវអាចត្រូវបានផ្គូផ្គងជាមួយនឹងសំណើទៅកាន់ចំណុចបញ្ចប់ "/iam/governance/applicationmanagement/api/v1/applications/groovyscriptstatus" ដើម្បីសម្រេចបាននូវការប្រតិបត្តិកូដពីចម្ងាយដោយផ្ញើ HTTP POST ដែលបង្កើតឡើងជាពិសេស។ ទោះបីជាចំណុចបញ្ចប់នេះមានន័យសម្រាប់តែពិនិត្យមើលវាក្យសម្ព័ន្ធនៃកូដ Groovy និងមិនប្រតិបត្តិវាក៏ដោយ Searchlight Cyber ​​បាននិយាយថា ខ្លួនអាច "សរសេរចំណារពន្យល់ Groovy ដែលប្រតិបត្តិនៅពេលចងក្រង ទោះបីជាកូដដែលបានចងក្រងមិនត្រូវបានដំណើរការពិតប្រាកដក៏ដោយ"។

ការបន្ថែម CVE-2025-61757 ទៅក្នុងកាតាឡុក KEV បានកើតឡើងប៉ុន្មានថ្ងៃបន្ទាប់ពីលោក Johannes B. Ullrich សាកលវិទ្យាធិការផ្នែកស្រាវជ្រាវនៅវិទ្យាស្ថានបច្ចេកវិទ្យា SANS បាននិយាយថា ការវិភាគកំណត់ហេតុ honeypot បានបង្ហាញពីការប៉ុនប៉ងជាច្រើនដើម្បីចូលប្រើ URL "/iam/governance/applicationmanagement/api/v1/applications/groovyscriptstatus;.wadl" តាមរយៈសំណើ HTTP POST រវាងថ្ងៃទី 30 ខែសីហា និងថ្ងៃទី 9 ខែកញ្ញា ឆ្នាំ 2025។

លោក Ullrich បាននិយាយថា "មានអាសយដ្ឋាន IP ផ្សេងៗគ្នាជាច្រើនកំពុងស្កេនរកវា ប៉ុន្តែពួកវាទាំងអស់ប្រើភ្នាក់ងារអ្នកប្រើប្រាស់ដូចគ្នា ដែលបង្ហាញថាយើងអាចកំពុងដោះស្រាយជាមួយអ្នកវាយប្រហារតែមួយ"។ "ជាអកុសល យើងមិនបានចាប់យកសាកសពសម្រាប់សំណើទាំងនេះទេ ប៉ុន្តែពួកវាទាំងអស់គឺជាសំណើ POST។ បឋមកថាប្រវែងមាតិកាបានបង្ហាញពីបន្ទុក 556 បៃ"។ នេះបង្ហាញថា ភាពងាយរងគ្រោះនេះអាចត្រូវបានកេងប្រវ័ញ្ចជាភាពងាយរងគ្រោះសូន្យថ្ងៃ យូរមុនពេលដែល Oracle បញ្ជូនបំណះ។ អាសយដ្ឋាន IP ដែលការប៉ុនប៉ងទាំងនោះមានប្រភពមកពីត្រូវបានរាយខាងក្រោម -

-89.238.132[.]76

-185.245.82[.]81

-138.199.29[.]153

ដោយសារតែការកេងប្រវ័ញ្ចយ៉ាងសកម្ម ទីភ្នាក់ងារសាខាប្រតិបត្តិស៊ីវិលសហព័ន្ធ (FCEB) ត្រូវបានតម្រូវឱ្យអនុវត្តបំណះចាំបាច់ត្រឹមថ្ងៃទី 12 ខែធ្នូ ឆ្នាំ 2025 ដើម្បីការពារបណ្តាញរបស់ពួកគេ។