CISA, CVE-2025-61884 olarak takip edilen bir Oracle E-Business Suite kusurunun saldırılarda kullanıldığını doğruladı ve onu Bilinen İstismar Edilen Güvenlik Açıkları kataloğuna ekledi.
BleepingComputer daha önce CVE-2025-61884’ün, Temmuz saldırılarında kullanılan sızdırılmış bir istismarla bağlantılı olan Oracle Yapılandırıcı çalışma zamanı bileşenindeki kimliği doğrulanmamış bir sunucu tarafı istek sahteciliği (SSRF) güvenlik açığı olduğunu bildirmişti.
ABD siber güvenlik kurumu artık federal kurumların güvenlik açığını 10 Kasım 2025’e kadar düzeltmesini istiyor.
Oracle, kusuru 11 Ekim’de açıklayarak kusura 7,5 önem derecesi verdi ve bunun kolayca istismar edilebileceği ve “kritik verilere yetkisiz erişim veya Oracle Yapılandırıcı ile erişilebilen tüm verilere tam erişim” elde etmek için kullanılabileceği konusunda uyarıda bulundu.
Ancak BleepingComputer, güncellemenin ShinyHunters ve Scattered Lapsus$ gasp grubu tarafından sızdırılan istismarı engellediğini doğrulamasına rağmen Oracle, bu güvenlik açığından daha önce yararlanıldığını açıklamadı.
Oracle E-Business Suite saldırı altında
Ekim ayı başlarında Mandiant, Clop fidye yazılımı çetesinin sıfır gün kusurlarını kullanarak Oracle E-Business Suite örneklerinden veri çaldıklarını iddia ederek şirketlere şantaj e-postaları göndermeye başladığını açıkladı.
Oracle bu habere, tehdit aktörlerinin Temmuz ayında açıklanan daha önce yamalanmış kusurlardan yararlandığını belirterek yanıt verdi.
3 Ekim’de ShinyHunters, Telegram’da bir Oracle istismarını sızdırdı ve bunun Clop tarafından kullanıldığını gösterdi. Ertesi gün Oracle, sızdırılan kavram kanıtını güvenlik ihlali göstergelerinden (IOC’ler) biri olarak listeleyen CVE-2025-61882’yi açıkladı.
Ancak CrowdStrike ve Mandiant tarafından yapılan araştırmalar, Oracle EBS’nin iki farklı kampanyada hedef alındığını ortaya çıkardı.
- Temmuz kampanyası: “‘de bir SSRF kusurunu hedef alan bir istismar kullanıldı”
/configurator/UiServlet” son nokta, şu anda CVE-2025-61884 olarak onaylandı. - Ağustos kampanyası: “‘e karşı farklı bir istismar kullanıldı”
/OA_HTML/SyncServlet” uç nokta ve uç noktayı engellemek için mod_security kuralları aracılığıyla ve SYNCSERVLET sınıfının çıkarılmasıyla CVE-2025-61882 kapsamında düzeltildi. Bu kusur Clop’a atfedilir.
watchTowr Labs ayrıca sızdırılan ShinyHunters saldırısının bir analizini yayınladı ve bu saldırının SyncServlet zincirini değil UiServlet SSRF saldırı zincirini hedef aldığını doğruladı.
Oracle, 11 Ekim’de CVE-2025-61884’ü açıkladı ancak Temmuz saldırılarında kullanılan istismarı düzeltmiş olmasına rağmen istismar edilip edilmediğini doğrulamadı.
BleepingComputer, CVE-2025-61884 yamasının, saldırgan tarafından sağlanan bir “return_url”yi normal bir ifade kullanarak doğrulayarak kusuru giderdiğini öğrendi. Doğrulama başarısız olursa istek engellenir.
Bugüne kadar Oracle’ın ShinyHunters istismarını neden CVE-2025-61882 için bir IOC olarak listelediği, oysa aslında CVE-2025-61884 için tasarlandığı belirsizliğini koruyor. Ne yazık ki Oracle, BleepingComputer’ın yanlış IOC ile ilgili e-postalarına yanıt vermedi.
BleepingComputer, CVE-2025-61882 kusurunun istismar edilmiş olarak işaretlenip işaretlenmeyeceği konusunda Oracle ile bir kez daha iletişime geçti ancak e-postamıza bir yanıt alamadı.
Ortamların %46’sında şifreler kırıldı; bu oran geçen yılki %25’ten neredeyse iki katına çıktı.
Önleme, tespit ve veri hırsızlığı eğilimlerine ilişkin daha fazla bulguya kapsamlı bir bakış için Picus Blue Report 2025’i hemen edinin.