CISA Lanza Alerta por Zero-Day Crítico (CVE-2025-61757) en Oracle Identity Manager: Ejecución Remota sin Autenticación

La CISA (Cybersecurity and Infrastructure Security Agency) de Estados Unidos emitió una advertencia urgente sobre una vulnerabilidad de día cero en Oracle Identity Manager (OIM), uno de los productos más usados para gestión de identidades, accesos y gobernanza corporativa.

El error, identificado como CVE-2025-61757, permite a un atacante ejecutar código de forma remota sin autenticarse.
En lenguaje directo:
👉 control total del servidor con un solo request.

⚠️ ¿Qué versiones están vulnerables?

Afecta directamente a:

• OIM 12.2.1.4.0

• OIM 14.1.2.1.0

Con una puntuación de CVSS 9.8, prácticamente el nivel máximo posible.

🔍 ¿Qué causa la vulnerabilidad?

Investigadores de Searchlight Cyber descubrieron que el problema está en una función crítica sin validación de autenticación, lo que permite:

• manipular flujos de login,

• escalar privilegios,

• ejecutar comandos arbitrarios,

• y moverse lateralmente por la red.

Es decir, una puerta abierta al corazón del sistema de identidad.

🕵️ Evidencias de explotación activa

CISA confirmó que:

• múltiples IP han estado escaneando masivamente servidores vulnerables,

• todas usando el mismo user-agent,

• lo cual apunta a un solo actor o un grupo altamente coordinado.

Además, los escaneos y ataques ocurrían incluso antes de que Oracle publicara el parche en octubre de 2025, lo que prueba que este zero-day estaba siendo explotado de forma encubierta.

🏛️ Urgencia para entidades gubernamentales (y empresas privadas)

CISA ordenó formalmente que todas las agencias federales de EE.UU. apliquen los parches antes del 12 de diciembre de 2025.

Pero este no es un problema exclusivo del gobierno estadounidense.

👉 Cualquier empresa que use OIM —en banca, salud, educación, gobierno o corporativos— está en riesgo.

Oracle Identity Manager suele centralizar:

• credenciales,

• flujos de autenticación,

• políticas de acceso,

• aprobaciones,

• y datos extremadamente sensibles.

Por eso un fallo de este tipo tiene impacto crítico.

🛡️ ¿Qué debe hacer un profesional de TI hoy mismo?

✔️ 1. Aplicar el parche de Oracle

Actualiza desde la consola o tu pipeline de despliegue.

✔️ 2. Revisar logs de red y EDR

Busca patrones inusuales:

• escaneos repetitivos,

• peticiones desde user-agents desconocidos,

• tráfico no habitual hacia endpoints de autenticación.

✔️ 3. Activar monitoreo basado en comportamiento

Los zero-days no se detectan con firmas tradicionales.
Se requiere:

• EDR,

• UEBA,

• reglas de detección de actividades anómalas.

✔️ 4. Analizar movimientos laterales

Revisa:

• credenciales privilegiadas,

• acceso a bases de datos,

• cambios en políticas de identidad.

Una intrusión en OIM casi siempre implica que el atacante intentará pivotar a otros sistemas.

✔️ 5. Restringir exposición de OIM a internet

Si tu instancia es accesible públicamente, redúcelo o ponla detrás de:

• VPN

• Zero Trust

• segmentación fuerte

• WAF corporativo

🌐 Un año dominado por los zero-days

Este incidente se suma a una lista creciente de vulnerabilidades explotadas en 2025, evidenciando que los atacantes:

• buscan fallos en infraestructuras críticas,

• aprovechan servicios expuestos,

• y prefieren vectores que otorgan control total.

El caso de Oracle Identity Manager deja una lección clara:

👉 La seguridad de identidades es un objetivo prioritario para los atacantes.
👉 El parcheo rápido ya no es opcional, es supervivencia operacional.