Uma falha crítica recentemente corrigida no Oracle Identity Manager pode ter sido explorada por cibercriminosos antes da disponibilização do patch, caracterizando um possível ataque zero-day.
A vulnerabilidade, identificada como CVE-2025-61757, foi divulgada na última quinta-feira pela empresa de segurança Searchlight Cyber, responsável pela descoberta e pelo reporte à Oracle. Segundo os pesquisadores, trata-se de uma falha de execução remota de código (RCE) pré-autenticação, classificada como crítica.
Falha combina bypass de autenticação e execução arbitrária de código
De acordo com a Searchlight Cyber, o exploit combina duas fraquezas — um bypass de autenticação e a possibilidade de execução arbitrária de código — permitindo que um invasor obtenha comprometimento total do sistema.
A Oracle confirmou a gravidade da falha e lançou a correção no pacote de atualizações de outubro de 2025, reforçando que ela é facilmente explorável sem necessidade de credenciais.
A empresa de segurança alertou ainda que a exploração pode permitir que atacantes manipulem fluxos de autenticação, elevem privilégios e realizem movimentos laterais dentro da infraestrutura da organização, podendo levar à violação de servidores que processam informações pessoais e credenciais de usuários.
Indícios de exploração antes do patch
O SANS Technology Institute analisou dados de honeypots após a divulgação técnica feita pela Searchlight e encontrou indícios de exploração.
Segundo Johannes Ullrich, diretor do SANS, houve atividades suspeitas entre 30 de agosto e 9 de setembro, semanas antes da liberação do patch pela Oracle. Ele destacou que:
“Foram observados vários endereços IP diferentes realizando varreduras, mas todos utilizavam o mesmo user-agent, o que sugere a possibilidade de um atacante único.”
Apesar disso, Ullrich observou que os honeypots não registraram o corpo das requisições — todas do tipo POST —, o que limita a confirmação completa da exploração.
Os mesmos endereços IP também foram associados a varreduras relacionadas à vulnerabilidade em produtos Liferay (CVE-2025-4581), além de tentativas de exploração do Log4j, indicando um histórico de busca ativa por falhas críticas na internet.
Oracle e Searchlight ainda não comentaram
O portal SecurityWeek informou ter contatado a Oracle para comentários adicionais, mas ainda não obteve resposta. A Searchlight também foi questionada sobre a possibilidade de a atividade identificada pelo SANS estar relacionada aos próprios testes de pesquisa conduzidos pela empresa.