La Agencia de Seguridad de Ciberseguridad e Infraestructura de Estados Unidos (CISA) emitió una advertencia urgente tras confirmar la explotación activa de una vulnerabilidad crítica en Oracle Identity Manager, componente clave dentro de Oracle Fusion Middleware.
El fallo, identificado como CVE-2025-61757 , fue revelado el pasado 20 de noviembre por Searchlight Cyber y posteriormente reportado por Oracle el 21 de noviembre. Ese mismo día, fue añadido al catálogo KEV de vulnerabilidades explotadas, tras detectarse actividad maliciosa utilizando este vector.
Qué permite el fallo: ejecución remota sin autenticación
La vulnerabilidad afecta el componente REST WebServices y permite que un atacante remoto no autenticado ejecute código arbitrario en los sistemas vulnerables, utilizando únicamente acceso HTTP.
Las versiones afectadas incluyen:
12.2.1.4.0
14.1.2.1.0
Con un CVSS de 9.8, la vulnerabilidad se considera crítica no solo por su facilidad de explotación, sino porque permite tomar control total del sistema afectado.
Un escenario ideal para ransomware y amenazas estatales
El vector combina dos condiciones de alto riesgo:
ausencia total de autenticación
ejecución remota de código
Por ello, CISA advierte que la falla es especialmente atractiva para operadores de ransomware y grupos APT, potencialmente vinculados a estados.
Origen del hallazgo: investigación tras una brecha en Oracle Cloud
Searchlight Cyber descubrió la vulnerabilidad mientras investigaba una intrusión que afectó el servicio de acceso a Oracle Cloud ( login.us2.oraclecloud.com ) a inicios de 2025.
Durante dicha investigación, se observará el abuso de una falla anterior (CVE-2021-35587).
Ese incidente provocó:
el compromiso de seis millones de registros
Impacto en más de 140.000 inquilinos de Oracle Cloud
Recomendaciones inmediatas de CISA
Las organizaciones que utilizan Oracle Identity Governance Suite 12c deben actuar sin demora.
Las acciones sugeridas incluyen:
1. Aplicar parches de seguridad inmediatamente
correspondientes a CVE-2025-61757.
2. Aislar servicios expuestos
En caso de que no sea posible aplicar parches con rapidez.
3. Bloquear acceso desde Internet
a los componentes afectados.
4. Fortalecer monitoreo de actividad inusual
Especialmente autenticaciones remotas e intentos fallidos.
Un recordatorio crítico para la gestión de identidades.
El incidente subraya el creciente atractivo de los sistemas de identidad como blancos estratégicos para el cibercrimen organizado y actores estatales, y la necesidad de acelerar la madurez defensiva en entornos IAM.
