ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), bugün Bilinen Suistimal Edilen Güvenlik Açıkları (KEV) kataloğuna Microsoft, Apple ve Oracle güvenlik açıkları da dahil olmak üzere beş CVE ekledi.
CISA tarafından işaretlenen güvenlik açıkları şunları içerir:
- CVE-2022-48503, birden fazla Apple ürününde bulunan ve web içeriği işlenirken rastgele kod yürütülmesine yol açabilecek 8,8 önem derecesine sahip bir güvenlik açığı. Sınır kontrolleri iyileştirilerek sorun giderildi.
- CVE-2025-33073, Microsoft’un Haziran Yaması Salı güncellemesinde kötüye kullanılma olasılığı daha düşük olarak etiketlediği, 8.8 dereceli Microsoft Windows SMB İstemcisi Uygunsuz Erişim Denetimi güvenlik açığı.
- CVE-2025-61884, Oracle’ın 11 Ekim’de bir acil durum yaması yayınladığı, 7,5 önem derecesine sahip Oracle E-Business Suite Sunucu Tarafı İstek Sahteciliği (SSRF) güvenlik açığı.
- Kentico Xperience Staging Sync Server’da her ikisi de 9,8 dereceli parola kimlik doğrulama atlama sorunları olan CVE-2025-2746 ve CVE-2025-2747.
Saldırı Altındaki Oracle Güvenlik Açıkları
CISA, güvenlik açıklarından nasıl yararlanıldığına dair ayrıntılı bilgi vermiyor ancak 11 Ekim Oracle E-Business Suite CVE-2025-61884 güvenlik açığı duyurusu, CL0P fidye yazılımı grubunun Oracle E-Business Suite’teki 9.8 önem derecesine sahip bir uzaktan kod yürütme (RCE) kusuru olan ve en azından Ağustos ayından bu yana istismar edildiği bildirilen CVE-2025-61882’den yararlanmaya yönelik devam eden bir kampanyanın ardından geldi. 9, bundan bir ay önce “şüpheli faaliyet” meydana geldi.
CISA, 6 Ekim’de CVE-2025-61882’yi KEV veritabanına ekledi.
Google Tehdit İstihbaratına göre, CVE-2025-61882’nin CL0P fidye yazılımı grubu tarafından, kurbanların Oracle E-Business Suite ortamlarından hassas verilerin çalındığını iddia eden çok sayıda kuruluştaki yöneticilere gönderilen çok sayıda e-postayı içeren yaygın bir gasp kampanyasında silah haline getirildiği bildirildi.
CL0P (namı diğer CLOP), Tor veri sızıntısı sitesinde Oracle kampanyasından en az dört kurban olduğunu iddia etti: Harvard Üniversitesi, American Airlines’ın Envoy Air yan kuruluşu ve doğrulanmayan iki kurban daha.
Cyble karanlık web araştırmacılarına göre, Dağınık LAPSUS$ Avcıları tehdit grubu, CVE-2025-61882’nin istismar kanıtı (PoC) kodunu 3 Ekim’de Telegram kanalında yayınladı ve bu istismarın CL0P yerine kendilerinin kaynaklandığını iddia etti; Scattered LAPSUS$ tehdit grubunun PoC sürümünün, Oracle’ın CVE-2025-61882 yamasından bir gün önce çıktığı belirtiliyor.
Microsoft CVE-2025-33073 Güvenlik Açığı 8 Araştırmacı Tarafından Keşfedildi
Haziran Yaması Salı güncellemesi sırasında Microsoft, CVE-2025-33073’ü keşfetmeleri için sekiz araştırmacıya kredi verdi: CrowdStrike’dan Keisuke Hirata, Synacktiv’den Wilfried Bécard, GuidePoint Security’den Cameron Stish, BNP Paribas’tan Ahamada M’Bamba, SySS GmbH’den Stefan Walter ve Daniel Isern, RedTeam Pentesting GmbH ve Google Project Zero’dan James Forshaw.
Stish’in CVE-2025-33073 adresindeki GuidePoint blog yazısı, güvenlik açığıyla ilgili bazı ilginç arka plan bilgileri sunuyor.
Microsoft’a göre, bu güvenlik açığından başarıyla yararlanan bir saldırgan, SİSTEM ayrıcalıkları kazanabilir.
Birden fazla saldırı vektörü kullanılabildiğinde Microsoft, en yüksek riske sahip senaryoya göre bir puan atar. Güvenlik açığına ilişkin bir senaryoda Microsoft, bir saldırganın kurbanı SMB sunucusu gibi saldırgan tarafından kontrol edilen kötü amaçlı bir uygulama sunucusuna bağlanmaya ikna edebileceğini söyledi. Microsoft, “Bağlantı kurulduğunda kötü amaçlı sunucu protokolü tehlikeye atabilir” dedi.
Microsoft, “Bir saldırgan, bu güvenlik açığından yararlanmak için, kurbanın makinesini SMB kullanarak saldırı sistemine geri bağlanmaya ve kimlik doğrulaması yapmaya zorlamak amacıyla özel hazırlanmış kötü amaçlı bir komut dosyası çalıştırabilir” dedi. “Bu ayrıcalıkların yükselmesine neden olabilir.”