¿Tu organización usa Oracle Identity Manager? Entonces podrías estar frente a una vulnerabilidad que permite que un atacante tome control total de tu infraestructura… sin usuario, sin contraseña y sin interacción alguna.
Y ya está siendo explotada en el mundo real.

CISA alerta sobre la vulnerabilidad crítica CVE-2025-61757: RCE sin autenticación en Oracle Identity Manager

La CISA emitió una advertencia urgente tras confirmar la explotación activa del zero-day CVE-2025-61757, una vulnerabilidad crítica con CVSS 9.8 que permite ejecución remota de código sin autenticación en Oracle Identity Manager (OIM), parte esencial de Oracle Fusion Middleware.

Este fallo afecta versiones ampliamente desplegadas, como:

• 12.2.1.4.0

• 14.1.2.1.0

El problema reside en una función crítica del componente que carece completamente de verificación de autenticación, lo que permite que un atacante remoto ejecute código arbitrario de manera directa.

🧨 Explotación activa incluso antes del parche

Investigadores observaron actividades maliciosas antes del lanzamiento del parche oficial en octubre de 2025, lo que confirma que:

• el exploit ya estaba en manos de actores avanzados,

• existían campañas organizadas en marcha,

• y la explotación no estaba limitada a sectores o regiones específicas.

La naturaleza de los ataques —incluyendo el uso de herramientas personalizadas y un mismo user-agent repetido— demuestra que no son ataques oportunistas, sino operaciones coordinadas, probablemente con motivación estratégica.

🛑 CISA incluye el zero-day en el catálogo KEV

La vulnerabilidad ya forma parte del Known Exploited Vulnerabilities Catalog (KEV) de CISA.
Esto implica dos cosas:

1. Está confirmada su explotación en el mundo real.

2. Las agencias federales de EE. UU. deben aplicar el parche antes del 12 de diciembre de 2025.

Pero el mensaje es claro para todo el sector TI:
si usas Oracle Identity Manager, tienes que priorizar esta actualización ahora mismo.

🎯 ¿Por qué es tan grave?

Oracle Identity Manager es un punto crítico en:

• gestión de identidades,

• provisionamiento de usuarios,

• autenticación entre sistemas,

• autoría de acceso en aplicaciones internas y externas.

Un atacante que compromete OIM tiene la capacidad de:

• crear, eliminar o modificar identidades,

• escalar privilegios,

• moverse lateralmente,

• comprometer aplicaciones conectadas,

• y tomar control de toda la red corporativa.

En pocas palabras: afecta el corazón de tu infraestructura.

🛡️ Recomendaciones para equipos de TI, sysadmins y responsables de seguridad

Acciones prácticas que debes tomar hoy mismo:

✔️ 1. Aplicar el parche oficial sin demora

Prioridad máxima en cualquier entorno usando:

• Oracle Identity Manager 12.2.1.4.0

• Oracle Identity Manager 14.1.2.1.0

✔️ 2. Aumentar la monitorización

Busca indicadores como:

• intentos de acceso no autenticado a endpoints críticos

• tráfico anómalo con user-agents repetidos

• ejecución de procesos inesperados dentro del componente OIM

• errores o logs fuera de patrón en servidores de Middleware

✔️ 3. Realizar búsqueda activa de amenazas (threat hunting)

Especialmente en:

• servidores de identidades

• aplicaciones conectadas a OIM

• logs de auditoría de acceso

• movimientos laterales post-explotación

✔️ 4. Reforzar controles de autenticación

Revisar políticas en middleware, reverse proxies, firewalls y WAFs vinculados a OIM.

✔️ 5. Revisar integridad de identidades y privilegios

Si hubo compromiso previo, podrían existir cuentas maliciosas o permisos alterados.

🧩 Conclusión

Este zero-day se suma a una lista creciente de vulnerabilidades explotadas en 2025, evidenciando una tendencia clara:
los atacantes están priorizando puntos críticos de identidad, porque controlar la identidad es controlar toda la infraestructura.

Para los profesionales de TI, este es el tipo de incidente que debe activar todos los focos rojos.
Mantener los sistemas actualizados, monitorear activamente y fortalecer los controles de autenticación no es solo una buena práctica: es una defensa imprescindible contra amenazas reales y activas.