أدرجت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) ثغرة أمنية حرجة في Oracle Identity Manager ضمن كتالوج الثغرات المعروفة التي يتم استغلالها فعلياً (KEV)، بعد توفر أدلة على استغلالها النشط. الثغرة، التي تحمل الرمز CVE-2025-61757، حصلت على تقييم خطورة مرتفع جداً بلغ 9.8 وفقاً لمقياس CVSS، وتؤثر على الإصدارات 12.2.1.4.0 و14.1.2.1.0 من البرنامج.
تكمن خطورة الثغرة في غياب التحقق من الهوية لوظيفة حرجة، مما يسمح للمهاجمين بتنفيذ تعليمات برمجية عن بُعد دون الحاجة إلى تسجيل الدخول، وهو ما يفتح الباب أمام السيطرة الكاملة على نظام إدارة الهوية.
آلية الاستغلال: تجاوز فلتر الأمان عبر URI معدّل
وفقاً للباحثين الأمنيين آدم كيوس وشوبهام شاه من شركة Searchlight Cyber، فإن الثغرة تنبع من خلل في آلية السماح (allow-list) التي تعتمد على مطابقة السلاسل النصية أو التعبيرات النمطية (regex) في عناوين الطلبات (URI). يمكن للمهاجمين تجاوز الفلتر الأمني ببساطة عن طريق إضافة “?WSDL” أو “;.wadl” إلى نهاية أي URI، مما يجعل النظام يتعامل مع نقاط النهاية المحمية كأنها عامة.
بعد تجاوز التحقق، يمكن للمهاجم إرسال طلب HTTP POST إلى نقطة النهاية:
وهي نقطة مخصصة لفحص صحة شيفرات Groovy، ولكن الباحثين تمكنوا من تنفيذ تعليمات برمجية عبر تضمين تعليقات Groovy تُنفذ أثناء الترجمة، رغم أن الكود لا يُفترض أن يُنفذ فعلياً.
مؤشرات على استغلال الثغرة قبل إصدار التصحيح
أظهرت تحليلات سجلات “honeypot” التي أجراها يوهانس أولريش من معهد SANS وجود محاولات متعددة للوصول إلى نقطة النهاية المذكورة بين 30 أغسطس و9 سبتمبر 2025، باستخدام طلبات POST تحتوي على حمولة بحجم 556 بايت. وقد تم رصد هذه المحاولات من عناوين IP مختلفة، لكنها استخدمت نفس وكيل المستخدم (User Agent)، مما يشير إلى احتمال وقوف جهة واحدة وراء الهجمات.
عناوين IP المرتبطة بالمحاولات:
– 89.238.132[.]76
– 185.245.82[.]81
– 138.199.29[.]153
توصيات عاجلة من CISA: التحديث قبل 12 ديسمبر
نظراً لخطورة الثغرة واستغلالها النشط، ألزمت CISA الوكالات الفيدرالية المدنية الأمريكية (FCEB) بتطبيق التصحيحات الأمنية اللازمة قبل 12 ديسمبر 2025. وكانت Oracle قد أصدرت تصحيحاً للثغرة ضمن تحديثاتها الفصلية في أكتوبر الماضي.
تُعد هذه الثغرة مثالاً صارخاً على خطورة ثغرات يوم الصفر، خاصة عندما تُستغل قبل إصدار التصحيحات، مما يضع المؤسسات أمام تحديات أمنية جسيمة تتطلب استجابة سريعة وتحديثات فورية لحماية الأنظمة الحيوية.
