Giriş: Dijital Kimliklerin Kalesi Düştü
Kurumların kullanıcı kimliklerini, erişim haklarını ve şifrelerini yönettiği en kritik altyapı bileşenlerinden biri olan Oracle Identity Manager (OIM), çok ciddi bir tehdit altında. CVE-2025-61757 koduyla tanımlanan ve uzaktan kod yürütme (RCE) imkanı veren bu zafiyet, saldırganların herhangi bir sunucuyu tamamen ele geçirmesine olanak tanıyor.
ABD Siber Güvenlik Ajansı (CISA), bu zafiyetin Ağustos sonundan beri aktif olarak sömürüldüğünü doğruladı ve “Bilinen Sömürülen Zafiyetler” (KEV) listesine ekledi. Bu, saldırganların kapıyı zorlamakla kalmayıp içeri girdiği anlamına geliyor.
🔍 Zafiyetin Teknik Analizi: Neden Bu Kadar Tehlikeli?
Bu zafiyet, saldırganların Oracle Identity Manager sunucusuna özel olarak hazırlanmış HTTP istekleri göndererek işletim sistemi üzerinde komut çalıştırmasına izin veriyor.
Saldırı Vektörü (Unauthenticated RCE)
- Kimlik Doğrulama Yok: Saldırganın sisteme giriş yapmasına gerek yoktur.
-
Ağ Erişimi Yeterli: Sunucunun internete veya saldırganın bulunduğu ağa açık olması yeterlidir.
-
Tam Kontrol: Başarılı bir saldırı, sunucuda root veya oracle kullanıcısı yetkileriyle komut çalıştırılmasını sağlar.
Etki Alanı (Impact)
Bu bir “Identity Manager” olduğu için, sunucuyu ele geçiren saldırgan:
• Tüm kullanıcı veritabanını (şifre hashleri dahil) çalabilir.
• Yeni yönetici hesapları oluşturabilir.
• Şirket içindeki diğer sistemlere (ERP, CRM, E-posta) yanal hareket (lateral movement) yapabilir.
📊 Saldırı Göstergeleri (IOC) ve Log Analizi
Saldırganların sisteminizde olup olmadığını anlamak için aşağıdaki izleri arayın.
Şüpheli IP Adresleri (İlk Tespitler)
Aşağıdaki IP adreslerinden gelen trafiği güvenlik duvarınızda ve loglarınızda arayın ve engelleyin:
• 89.238.132.76
• 185.245.82.81
• 138.199.29.153
Kritik Endpoint Taraması
Saldırganlar genellikle belirli URL yollarını hedef alıyor. Web sunucusu (HTTP/Access) loglarınızda şu dizelere yapılan istekleri arayın:
• /templates;.wadl
• /groovyscriptstatus;.wadl
Not: .wadl uzantısı ve noktalı virgül (;) kullanımı, güvenlik filtrelerini atlatmak (WAF Bypass) için kullanılan yaygın bir tekniktir.
🛠️ Teknik Özet
| Kategori | Detaylar |
|---|---|
| Zafiyet Kodu | CVE-2025-61757 |
| Etkilenen Ürün | Oracle Identity Manager |
| Saldırı Türü | Unauthenticated Remote Code Execution (Kimliksiz RCE) |
| Risk Durumu | Aktif Sömürü Var (CISA KEV) |
| Potansiyel Kayıp | Tam Sistem Ele Geçirme, Veri Sızıntısı |
🛡️ Acil Eylem Planı: Ne Yapmalı?
Sisteminizi korumak için aşağıdaki adımları sırasıyla ve hemen uygulayın:
- Yazılım Güncellemesi (Zorunlu)
Oracle, bu kritik açık için güvenlik yamaları yayınlamıştır. Mevcut sürümünüzü kontrol edin ve en son yamalı sürüme yükseltin.
- Erişimi Kısıtlayın (İzolasyon)
Eğer hemen güncelleme yapamıyorsanız:
• VPN Zorunluluğu: Oracle Identity Manager yönetim panellerini asla doğrudan internete açmayın. Sadece VPN arkasından erişilebilir hale getirin.
• ACL (Erişim Kontrol Listesi): Erişim iznini sadece belirli, güvenilir IP adresleri (Yöneticiler) ile sınırlayın.
- Tehdit Avcılığı (Threat Hunting)
• Loglarınızda yukarıda belirtilen .wadl isteklerini arayın.
• Sunucu üzerinde çalışan şüpheli işlemleri (özellikle java veya oracle kullanıcısı altında çalışan bilinmeyen süreçleri) ve dışarıya doğru (outbound) beklenmedik ağ bağlantılarını izleyin.
CUMBUR.NET sitesinden daha fazla şey keşfedin
Subscribe to get the latest posts sent to your email.
