Oracle Identity Manager (OIM) est une solution IAM (Identity and Access Management) de niveau entreprise utilisée pour gérer les cycles de vie des utilisateurs et le provisionnement des accès à travers de nombreuses applications métier. Son rôle central en fait un composant critique de l’infrastructure de sécurité de l’entreprise, contenant souvent des données sensibles sur les utilisateurs et des identifiants.

Cette vulnérabilité représente un risque catastrophique. Elle permet à un attaquant distant non authentifié d’obtenir le contrôle total du serveur OIM. La faille est classée comme facilement exploitable avec un exploit disponible publiquement, rendant la probabilité d’attaques actives extrêmement élevée. Toute organisation disposant d’une instance Oracle Identity Manager accessible via le réseau et non mise à jour est exposée à un risque immédiat de compromission complète du système. Une violation du système OIM pourrait permettre à un adversaire de créer des comptes privilégiés non autorisés, entraînant un accès étendu aux systèmes d’entreprise intégrés.

Produit	Oracle Identity Manager
Date	06/12/2025 00:20:23

Résumé technique

La cause principale de cette vulnérabilité est une faille non spécifiée au sein du composant REST WebServices d’Oracle Identity Manager. La faille permet le traitement d’entrées malveillantes provenant d’une source non authentifiée, conduisant à une exécution de code à distance (RCE). Le score CVSS 3.1 de 9,8 (Critique) reflète une compromission complète de la confidentialité, de l’intégrité et de la disponibilité (CIA).

La chaîne d’attaque est la suivante :

1. Un attaquant identifie un serveur Oracle Identity Manager vulnérable et accessible sur le réseau.
2. L’attaquant envoie une requête HTTP non authentifiée spécialement conçue vers un point de terminaison (endpoint) REST API spécifique.
3. Le service web de l’application ne valide pas correctement la requête, permettant son traitement par le code sous-jacent.
4. Cela conduit à l’exécution de code arbitraire avec les pleins privilèges du compte de service OIM, aboutissant à une compromission totale de l’hôte.

Bien que les noms des fonctions spécifiques ne soient pas divulgués, le défaut logique peut être conceptuellement représenté comme une entrée distante non validée transmise directement à une fonction dangereuse :

// Exemple conceptuel - Pas le code réel
public void handleRestRequest(HttpRequest request) {
    String vulnerableParameter = request.getParameter("data");
    // La vulnérabilité réside dans l'absence de validation avant le traitement
    // du 'vulnerableParameter', ce qui peut mener à une exécution de code.
    processData(vulnerableParameter);
}

Versions concernées :

• Oracle Identity Manager 12.2.1.4.0
• Oracle Identity Manager 14.1.2.1.0

Oracle a publié des correctifs de sécurité pour résoudre cette vulnérabilité. L’existence d’un exploit public est confirmée.

Recommandations

• Appliquer immédiatement les correctifs : Installer sans délai le correctif de sécurité publié par Oracle pour la CVE-2025-61757 sur toutes les instances vulnérables d’Oracle Identity Manager.

• Atténuations :

  • Restreindre l’accès réseau à l’application Oracle Identity Manager, en particulier aux ports des REST WebServices. Autoriser l’accès uniquement depuis des hôtes de confiance et des réseaux administratifs internes.
  • Placer l’application derrière un Web Application Firewall (WAF) avec des règles conçues pour inspecter et bloquer les objets sérialisés malveillants ou les requêtes API anormales ; cependant, cela doit être considéré uniquement comme une atténuation temporaire et non comme un substitut au correctif.

• Threat Hunting et surveillance :

  • Analyser les journaux d’accès HTTP du serveur Oracle Identity Manager pour détecter des requêtes inhabituelles ou malformées vers les points de terminaison REST API, en particulier provenant d’adresses IP inconnues ou externes.
  • Surveiller tout processus enfant inattendu lancé par le compte de service Oracle Identity Manager (ex. cmd.exe, /bin/bash, powershell.exe).
  • Vérifier la présence de connexions réseau sortantes anormales depuis le serveur OIM vers des destinations inattendues.

• Réponse aux incidents :

  • En cas de suspicion de compromission, isoler immédiatement le serveur concerné du réseau pour empêcher tout mouvement latéral.
  • Conserver les journaux et les artefacts système pour l’enquête forensique.
  • Présumer que tous les identifiants et secrets gérés ou stockés sur le serveur OIM ont été compromis. Lancer une rotation complète des identifiants pour tous les systèmes et utilisateurs connectés.

• Défense en profondeur :

  • S’assurer que l’application Oracle Identity Manager est déployée dans une zone réseau segmentée pour limiter la surface d’attaque.
  • Exécuter le service OIM avec les privilèges minimaux nécessaires à son fonctionnement.
  • Vérifier que des sauvegardes sécurisées et vérifiées de la base de données OIM et de la configuration système sont disponibles.

[Callforaction-THREAT-Footer]