Oracle E-Business Suite (CVE-2025-61882) ‘de yeni bir sıfır gün güvenlik açığı, büyük ölçekli bir veri açığa çıkma kampanyasında aktif olarak kullanılmaktadır ve Crowdstrike istihbaratını zarif örümcek tehdidi grubuna birincil katılımını ilişkilendirir ve kamu kanıtı detaylarının daha fazla saldırıyı teşvik edeceğini uyarır.
9 Ağustos 2025’te, Oracle E-Business Suite’teki kimliği doğrulanmamış bir uzaktan kod yürütme kırılganlığının ilk şüpheli kullanımı ortaya çıktı, ancak devam eden araştırmalar bu tarihi ayarlayabilir.
Crowdstrike Intelligence, veri hırsızlığı için internete maruz kalan EBS uygulamalarını hedefleyen bir kitlesel sömürü kampanyasının muhtemel temel nedeni olarak, şimdi CVE-2025-61882 olarak kataloglanan sıfır günü izler.
29 Eylül 2025’e kadar, zarif örümcek operatörleri, kurbanların Oracle EBS ortamlarından hassas verilere eriştiğini ve çıkardığını iddia eden birden fazla kuruluşa e -posta gönderdi.
Karmaşık olan atıf, 3 Ekim 2025’te bir telgraf kanalı katılımcısı, dağınık örümcek, kayma örümcek ve Shinyhunters arasında işbirliğini ima eden CVE-2025-61882 için silahlandırılmış bir istismar gibi görünen şeyi yayınladı.
Bu yazı bir SHA256 karma (76B6D36E04E367A2334C445B51E1ECCE97E4C614E88DFB4F72B104CA0F31235D) ve eleştirilmiş zarif örümcek taktiklerini içeriyordu.
Oracle’ın güvenlik danışmanlığı daha sonra aynı kavram kanıtı (POC) uzlaşmanın bir göstergesi olarak yayınladı ve satıcının istismarın zaten vahşi olduğu görüşünü gösterdi.
Crowdstrike, bu kırılganlıktan yararlanan birden fazla tehdit aktörünü dışlayamazken, gözlemlenen sömürü kalıpları POC’nin aktivitesi ve zarif örümceğin bilinen yöntemleriyle yakından uyumludur.
Oracle E-Business Suite 0 gün
Oracle, 4 Ekim 2025’te CVE-2025-61882’yi açıkladı ve Oracle E-Business Suite içinde kimlik doğrulanmamış bir RCE güvenlik açığını açıkladı.
İstismar zinciri, /OA_html /SyncServlet adlı bir HTTP sonrası isteği ile başlar, kimlik doğrulamasını – genellikle yönetimsel bir hesabı taklit ederek – ve XML Yayıncı Şablon Yöneticisi aracılığıyla kod yürütme yolunu açar.


Rakipler sorunu, önizleme yaptığında keyfi komutlar yürüten kötü amaçlı bir XSLT şablonu yüklemek için /oa_html/rf.jsp ve /oa_html/oa.jsp adresine talep edin ve yayınlayın.
Başarılı sömürü, Java web sunucusu işleminden 443 bağlantı noktası üzerinden saldırgan kontrollü altyapıya giden bir bağlantı kurar.
Crowdstrike, bu kanalı web mermilerini uzaktan dağıtmak, kalıcılık ve daha fazla komuta yürütme yetenekleri vermek için bu kanalı kullanan tehdit aktörlerini gözlemledi.
Birkaç olayda, düşman yüklü FileUtils.java, bu da log4jconfigqpgsubfilter.java getirildi. Bu dosyalar sırasıyla indirici ve arka kapı olarak işlev gördü, ikincisi /oa_html/help/state/content/destination./navid.1/navvsetid.ihelp/ erişirken bir dofilter zinciriyle çağrıldı.
Oracle’ın danışmanlığı, kötü niyetli IP adresleri, gözlemlenen komutlar ve dosya adları gibi IOC’leri, volildan sömürünün kanıtını vurguluyor.
CrowdStrike’ın telemetrisi ve yayınlanmış POC arasındaki teknik uyum, yeni bir sıfır günün kampanyanın temelini oluşturduğu sonucunu güçlü bir şekilde desteklemektedir.
Çıkarımlar ve öneriler
Crowdstrike Intelligence, POC’nin 3 Ekim kamuya açıklanmasının ve Oracle’ın Yamasının hızlı yayınlanmasının, fırsatçı saldırılar için sömürü silahlandırmaya ek tehdit aktörlerini-özellikle Oracle E-Business Suite’e aşina olanları-neredeyse kesinlikle motive edeceği konusunda uyarıyor.
Tarihsel eğilimler, kamu POC’lerinin sömürü gelişmesini hızlandırdığını ve potansiyel saldırganların havuzunu genişlettiğini ve hedeflenen kampanyaları yaygın fırsatçı müdahalelere geçirdiğini göstermektedir.
Oracle EBS’yi işleten kuruluşlar, riski azaltmak için aşağıdaki eylemlere öncelik vermelidir:


- Oracle’ın CVE-2025-61882 Güvenlik Güncellemelerini Hemen uygulayın.
- EBS örneklerinden bilinen kötü amaçlı altyapıya giden bağlantıları izleyin ve beklenmedik ağ etkinliğini araştırın.
- POC referanslarıyla eşleşen yetkisiz şablon girişleri için xdo_templates_vl veritabanı tablosunu sorgulayın.
- Kimlik doğrulama baypasını gösteren anomaliler için ICX_Sessions’taki SysAdmin (UserID 0) ve konuk (UserID 6) oturumlarını inceleyin.
- EBS ortamları için doğrudan İnternet erişimini devre dışı bırakmayı veya kötü niyetli istekleri filtrelemek için bir web uygulaması güvenlik duvarı dağıtmayı düşünün.
Savunmasız örnekleri hızla yamalayarak ve uyanık izleme uygulayarak, kuruluşlar sömürü zincirini bozabilir ve hassas verileri Oracle e-iş süitinde ortaya çıkan sıfır gün tehditlerinden koruyabilir.
Cyber Awareness Month Offer: Upskill With 100+ Premium Cybersecurity Courses From EHA's Diamond Membership: Join Today