CISA alerta sobre explotación activa de vulnerabilidad crítica en Oracle Identity Manager (CVE-2025-61757)

Introducción

El pasado viernes, la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) incluyó una vulnerabilidad crítica que afecta a Oracle Identity Manager en su catálogo de Vulnerabilidades Conocidas y Explotadas (Known Exploited Vulnerabilities, KEV). La decisión surge tras la detección de explotación activa de la vulnerabilidad, identificada como CVE-2025-61757, lo que implica un riesgo elevado para organizaciones que emplean este sistema de gestión de identidades.

Contexto del Incidente o Vulnerabilidad

Oracle Identity Manager (OIM) es un componente clave dentro del stack de Oracle Fusion Middleware, utilizado ampliamente en entornos empresariales para la gestión de identidades y accesos (IAM). Su función principal es centralizar la administración de usuarios, credenciales y permisos, integrándose con numerosos sistemas críticos. Un fallo en OIM puede derivar en accesos no autorizados a recursos corporativos, constituyendo una amenaza significativa para la integridad, confidencialidad y disponibilidad de los datos.

El 21 de junio de 2024, CISA emitió una alerta tras observar actividad maliciosa dirigida a la explotación de CVE-2025-61757, una vulnerabilidad cuya gravedad es reflejada por su puntuación CVSS de 9.8. Este incidente se suma a la creciente tendencia de ataques dirigidos a soluciones IAM, que se han convertido en un vector recurrente para movimientos laterales y escalada de privilegios según el último informe de ENISA.

Detalles Técnicos (CVE, vectores de ataque, TTP MITRE ATT&CK, IoC…)

CVE-2025-61757 describe una condición de “falta de autenticación para una función crítica” en Oracle Identity Manager. Este fallo permite que un atacante remoto ejecute acciones privilegiadas sin necesidad de autenticarse previamente en el sistema, explotando una carencia en los controles de acceso de determinados endpoints.

– **Vectores de ataque**: El vector principal es remoto, sin requerimiento de credenciales. Un atacante puede enviar solicitudes especialmente diseñadas a la interfaz vulnerable, obteniendo ejecución de funciones administrativas.
– **TTP (MITRE ATT&CK)**: La explotación se alinea con las técnicas T1190 (Exploitation of Remote Services) y T1078 (Valid Accounts), aunque en este caso no se requieren cuentas válidas para la explotación inicial.
– **Indicadores de compromiso (IoC)**: Se han observado logs con solicitudes anómalas hacia rutas administrativas y creación/alteración de cuentas de usuario sin correlación con actividades legítimas. Algunos exploits públicos ya han sido adaptados a frameworks como Metasploit, facilitando la automatización del ataque.
– **Versiones afectadas**: Según Oracle, las versiones anteriores a la 12.2.1.4.230117 están potencialmente expuestas. Se han detectado intentos de explotación en entornos de producción, especialmente en organizaciones del sector financiero y servicios gestionados.

Impacto y Riesgos

La explotación de esta vulnerabilidad concede al atacante un control total sobre la plataforma OIM, permitiendo la creación, modificación o eliminación de cuentas, escalada de privilegios y movimiento lateral hacia otros sistemas integrados. Según estimaciones de CISA y Oracle, más de 60% de las instalaciones globales de OIM podrían estar expuestas si no se aplican las actualizaciones correspondientes.

Un ataque exitoso puede derivar en robo de datos sensibles, interrupción de servicios críticos, cumplimiento deficiente de normativas como GDPR o NIS2 y, en última instancia, pérdidas económicas y reputacionales. El impacto puede ser particularmente grave en organizaciones que utilicen OIM como punto central de autenticación para aplicaciones críticas.

Medidas de Mitigación y Recomendaciones

Oracle ha publicado parches de seguridad que corrigen la vulnerabilidad en las versiones afectadas. Se recomienda a los administradores de sistemas y equipos SOC:

– **Actualizar OIM** a la versión 12.2.1.4.230117 o superior.
– **Monitorizar logs** de acceso y actividades administrativas, buscando anomalías o accesos no autorizados.
– **Desplegar reglas de detección** específicas en SIEMs y EDR, utilizando IoC publicados por Oracle y CISA.
– **Limitar la exposición pública** de interfaces administrativas de OIM y segmentar la red para restringir accesos.
– **Revisar políticas de acceso**, implementando autenticación multifactor para todas las funciones críticas.
– **Auditar cuentas** creadas o modificadas recientemente para detectar potenciales abusos.

Opinión de Expertos

Analistas de Mandiant y SANS Institute coinciden en que este tipo de vulnerabilidades en sistemas IAM representan uno de los vectores de ataque más críticos en entornos empresariales modernos. “La explotación masiva de fallos como CVE-2025-61757 evidencia la necesidad de priorizar la seguridad de los sistemas de gestión de identidades, ya que constituyen la puerta de entrada a la infraestructura corporativa”, señala Ana Martínez, consultora de ciberseguridad en Deloitte España.

Implicaciones para Empresas y Usuarios

La presencia de esta vulnerabilidad expone a las empresas a sanciones regulatorias bajo GDPR y NIS2, especialmente si la explotación resulta en brechas de datos personales o interrupciones de servicios esenciales. Los responsables de seguridad (CISO), administradores de sistemas y consultores deben considerar esta amenaza como prioritaria, asegurando la rápida aplicación de parches y realizando ejercicios de Red Team para evaluar la resiliencia del perímetro IAM.

Conclusiones

CVE-2025-61757 en Oracle Identity Manager representa una amenaza crítica en el contexto actual de ciberseguridad empresarial. La explotación activa, sumada a la disponibilidad de exploits públicos, obliga a actuar con urgencia para mitigar riesgos. La coordinación entre departamentos IT, cumplimiento normativo y equipos de respuesta a incidentes es clave para minimizar el impacto y garantizar la continuidad operativa.

(Fuente: feeds.feedburner.com)