Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in Oracle Identity Manager, zo laat het Amerikaanse cyberagentschap CISA weten. Gisteren verscheen er berichtgeving dat het beveiligingslek, aangeduid als CVE-2025-61757, mogelijk weken voor het uitkomen van de beveiligingsupdate op 21 oktober is misbruikt bij aanvallen.

Oracle Identity Manager is een oplossing voor gebruikersbeheer en laat organisaties bijvoorbeeld rechten van hun gebruikers configureren. CVE-2025-61757 maakt remote code execution (RCE) op kwetsbare systemen mogelijk. De impact is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Naar aanleiding van de berichten over het mogelijke misbruik meldde het Nationaal Cyber Security Centrum (NCSC) dat partners van de organisatie scanverkeer waarnamen waarin actief wordt gezocht naar mogelijke uitvoer van willekeurige code.

"Het NCSC verwacht vanwege de media-aandacht en de publicatie van de onderzoekers echter wel op korte termijn een toename van scanverkeer en mogelijk werkende Proof-of-Concept-code (PoC) en adviseert de updates zo spoedig mogelijk in te zetten, indien dit (nog) niet is gebeurd", aldus de Nederlandse overheidsinstantie gisteren, die ook voor potentieel misbruik waarschuwde.

Volgens het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security vindt misbruik van het Oracle-lek plaats of heeft dat plaatsgevonden. Details over deze aanvallen zijn echter niet gegeven. Wel zijn Amerikaanse overheidinstanties opgedragen om de Oracle-update voor de kwetsbaarheid voor 12 december te installeren.