American Airlines bünyesinde faaliyet gösteren en büyük taşıyıcı olan Teksas merkezli bölgesel havayolu Envoy Air, 17 Ekim 2025’te büyük bir kurumsal yazılım uygulamasındaki sıfır gün güvenlik açığını hedef alan yakın tarihli bir saldırı dalgasının kurbanı olduğunu doğruladı.
CL0P (diğer adıyla TA505/FIN11) adlı tanınmış bir fidye yazılımı grubu olan bilgisayar korsanları, birçok küresel şirketin finans ve üretim gibi temel operasyonlarını yürütmek için kullandığı Oracle E-Business Suite’i (EBS) hedef aldı.
Koordineli Bir Gasp Kampanyası
Bu son ihlal, ilk olarak Ekim 2025’in başlarında ortaya çıkan devasa, çok aşamalı bir gasp kampanyasıyla doğrudan bağlantılı. İlk alarm, şirket yöneticilerini hedef alan yüksek hacimli bir e-posta kampanyasının başladığı 29 Eylül 2025’te veya öncesinde verildi. Daha fazla araştırma, CL0P ile bağlantısı olduğunu iddia eden bir grubun, Oracle EBS ortamlarından çalındığı iddia edilen verileri sızdırmakla tehdit ettiğini ortaya çıkardı.
Hackread.com 3 Ekim 2025’te Mandiant’ın (bir Google Cloud şirketi) ve Google Tehdit İstihbarat Grubu’nun (GTIG) bu tehditleri acilen araştırdığını bildirdi. Şantaj mesajlarında kullanılan iletişim e-posta adreslerinin CL0P veri sızıntısı sitesinde halka açık olarak listelenenlerle eşleştiğini ve bunun da kötü şöhretli grupla bir ilişki olduğunu kuvvetle akla getirdiğini belirttiler.
Sıfır gün kusuru (teknik olarak CVE-2025-61882 olarak adlandırılır), saldırganların geçerli bir kullanıcı adı veya şifreye ihtiyaç duymadan internet üzerinden sistemin kontrolünü ele geçirmesine olanak tanıyan kritik bir güvenlik açığıydı.
Envoy Air: Verilerin Uzlaşması ve Uyarı
Envoy Air, soruşturmasında hiçbir hassas müşteri verisinin etkilenmediğini ve uçuş veya havaalanı operasyonları üzerinde kesinlikle hiçbir etkinin bulunmadığını belirtti. İhlal yalnızca sınırlı miktarda ticari bilgiyi ve ticari iletişim ayrıntılarını tehlikeye attı.
Envoy Air’in, Harvard Üniversitesi’nin 13 Ekim’deki kabulünün ardından bu kampanyada uzlaşmayı onaylayan ikinci büyük kuruluş olduğunu belirtmekte fayda var.
Bu kampanyanın genel doğası kaygı vericidir. Oracle’ın 4 Ekim 2025’te bir acil durum yaması yayınlamasından önce EBS kusurunun yaklaşık üç ay boyunca aktif olarak kullanılması özellikle endişe vericidir.
Ayrıca CL0P grubu, 16 Ekim 2025’te Envoy Air’in ana şirketi olan American Airlines’ı karanlık web sızıntı sitesinde zaten listelemişti. Bu, @H4ckmanac tarafından X.com’da yayınlanan bir uyarıda kamuya açık bir şekilde referans alınmıştı:
“#CLOP, American Airlines’ı DLS’lerine ekledi ve Oracle E-Business Suite (EBS) sıfır gün aracılığıyla bunları ihlal ettiklerini ve önemli miktarda veri çaldıklarını iddia etti.”
Uzmanlar, Oracle EBS kullanan tüm kuruluşlara, bu yaygın tehdide kapıyı kapatmak için 4 Ekim 2025’te yayınlanan acil durum yaması da dahil olmak üzere güvenlik güncellemelerini acilen yüklemelerini tavsiye ediyor.
Uzman Bakış Açıları
Keeper Security’nin Baş Bilgi Güvenliği Sorumlusu Shane Barney, Oracle EBS kampanyasına ağırlık vererek işletmelere yönelik risklerle ilgili kritik bağlam sağladı ve şunları söyledi:
“Saldırganlar, burada yer alan Oracle sistemi gibi yaygın olarak kullanılan bir platformdaki bir güvenlik açığından yararlandıklarında, yalnızca bir şirketi ihlal etmiyorlar; aynı teknolojiye dayanan her kuruluşta bir dalga etkisi yaratıyorlar.” Şu sonuca varmıştır: “Günümüzün tehdit ortamında, kontrol altına alma, önleme kadar önemlidir.”