SchwachstellenHackerangriffeDatenschutz

Oracle stopft kritische Sicherheitslücke in Identity Manager – Notfall-Patch veröffentlicht

Oracle stopft kritische Sicherheitslücke in Identity Manager – Notfall-Patch veröffentlicht
Zusammenfassung

Oracle hat am Freitag einen kritischen Sicherheitsupdate für seine Identity Manager und Web Services Manager Produkte freigegeben. Die Schwachstelle CVE-2026-21992 mit einem CVSS-Score von 9,8 ermöglicht es unauthentifizierten Angreifern, über das Netzwerk per HTTP Remote Code Execution durchzuführen und damit die betroffenen Systeme vollständig zu übernehmen. Oracle Identity Manager ist ein weit verbreitetes Enterprise-System zur Verwaltung von Benutzeridentitäten und Zugriffskontrolle, das in vielen großen Organisationen weltweit eingesetzt wird. Besonders beunruhigend ist, dass Oracle nicht explizit mitteilt, ob diese kritische Lücke bereits aktiv ausgenutzt wird – obwohl die Historie zeigt, dass Oracle Zero-Day-Exploits nicht immer proaktiv kommuniziert. Dies ist relevant für deutsche Unternehmen und Behörden, die Oracle Fusion Middleware nutzen, da sie sofort ihre Systeme überprüfen und patchen sollten. Für größere Organisationen könnte die Schwachstelle ein erhebliches Risiko darstellen, falls sie noch nicht gepatcht ist, da Angreifer ohne Authentifizierung Zugriff auf kritische Identitätsverwaltungssysteme erlangen könnten. Eine zügige Patch-Deployment sollte höchste Priorität haben.

Das Notfall-Patch-Verfahren zeigt die Schwere der Situation. Oracle Identity Manager ist ein zentrales Enterprise-System für Benutzerprovisioning, Access-Management und Identity Governance – Funktionen, die für die IT-Sicherheit vieler Organisationen kritisch sind. Die Schwachstelle betrifft konkret die REST-WebServices-Komponente von Identity Manager sowie die Web Services Security-Komponente von Web Services Manager.

Besonders kritisch ist die fehlende Authentifizierung: Ein Angreifer benötigt lediglich Netzwerkzugriff über HTTP, um die Sicherheitslücke auszunutzen. Die erfolgreiche Ausnutzung führt zur vollständigen Kompromittierung der betroffenen Systeme – ein katastrophales Szenario für Unternehmen, die ihre gesamte Identity-Management-Infrastruktur auf diesen Produkten aufbauen.

Oracles Integrated Cyber Center hat eine Sicherheitsmitteilung veröffentlicht, die Organisationen zur Installation der Patches auffordert. Doch genau hier liegt das Problem: Oracle schweigt sich darüber aus, ob die Lücke bereits in freier Wildbahn ausgenutzt wird. SecurityWeek hat das Unternehmen um Klarheit gebeten – bisher ohne aussagekräftige Antwort.

Dieses Verhalten ist nicht neu. Im November 2025 gab Oracle bereits eine kritische Zero-Day-Schwachstelle in Identity Manager bekannt, ohne zu erwähnen, dass diese bereits angegriffen wurde. Andere Sicherheitsforscher bestätigten später die Ausnutzung. Noch beunruhigender sind die jüngsten Angriffe auf Oracle E-Business Suite (EBS), bei denen über 100 Organisationen betroffen waren. Hier nutzen Angreifer verschiedene Zero-Days aus, deren genaue Nummern Oracle bis heute nicht vollständig offengelegt hat.

Für deutsche Unternehmen bedeutet dies: Der Patch sollte mit höchster Priorität eingespielt werden. Besonders kritisch ist die Situation für Organisationen, die Identity Manager produktiv einsetzen und diese Systeme über das Internet erreichbar ist. Administratoren sollten zudem ihre Logs überprüfen, ob bereits verdächtige Zugriffe stattgefunden haben.

Die Vorfälle verdeutlichen ein grundsätzliches Problem: Große Software-Hersteller wie Oracle sind bevorzugte Ziele für Angreifer. Eine zeitnahe und vollständige Transparenz über Sicherheitslücken und deren Ausnutzung ist nicht nur ethisch geboten, sondern auch für den Schutz der Kunden essentiell.

Ähnliche Artikel