Oracle Ebs Altında CL0P, gerçek dünya saldırılarında CVE-2025-61882’den istismar


07 Ekim 2025Ravie LakshmananSiber Saldırı / Fidye Yazılımı

Pazartesi günü Crowdstrike, Oracle E-Business Suite’teki yakın zamanda açıklanan bir güvenlik kusurunun sömürülmesini, bir tehdit aktörüne ılımlı bir güvenle ilişkilendirdiğini söyledi. Zarif örümcek (aka CL0Pve bilinen ilk sömürü 9 Ağustos 2025’te gerçekleşti.

Sömürü, kimlik doğrulaması olmadan uzaktan kod yürütmeyi kolaylaştıran kritik bir güvenlik açığı olan CVE-2025-61882’nin (CVSS skoru: 9.8) sömürülmesini içerir.

Siber güvenlik şirketi ayrıca, dağınık örümcek, Lapsus $ (Slippy Spider) ve Shinyhunters arasındaki bir telgraf kanalının nasıl “imha eden” işbirliğinin nasıl bir şekilde kullanıldığını ve bunların ve diğer tehdit aktörlerinin gerçek world saldırılarında bunu kullandıklarını da belirtti.

Telgraf kanalı, zarif örümcek taktiklerini eleştirirken iddia edilen Oracle EBS istismarını paylaşıyor.

DFIR Retainer Hizmetleri

Şimdiye kadar gözlemlenen aktivite, /oa_html /syncServlet’e bir HTTP isteği içerir ve bu da bir kimlik doğrulama baypasıyla sonuçlanır. Saldırgan daha sonra, kötü niyetli bir XSLT şablonu yüklemek ve yürütmek için /oa_html/oa.jsp adresine GET ve Post talepleri yayınlayarak Oracle’ın XML Yayıncı Şablon Yöneticisini hedefler.

Kötü amaçlı şablondaki komutlar, önizlendiğinde yürütülür, bu da Java web sunucusu işleminden 443 bağlantı noktası üzerinden saldırgan kontrollü altyapıya giden bir bağlantı ile sonuçlanır. Bağlantı, komutları yürütmek ve kalıcılığı oluşturmak için web kabuklarını uzaktan yüklemek için kullanılır.

Bir veya daha fazla tehdit aktörünün CVE-2025-61882’nin veri açılması amacıyla istismarına sahip olduğuna inanılmaktadır.

“Kavram kanıtı açıklama ve CVE-2025-61882 yama sürümü, tehdit aktörlerini-özellikle Oracle EBS’ye aşina olanları-silahlandırılmış POC’ler oluşturmaya ve bunları internete maruz kalan EBS uygulamalarına karşı kullanmaya çalışmaya teşvik edecektir.” Dedi.

Ayrı bir analizde, Watchtowr Labs, “Zincir, önceden doğrulanmış uzaktan kod yürütme sağlamak için birlikte düzenlenmiş en az beş farklı hata ile yüksek düzeyde beceri ve çaba gösteriyor.” Dedi. Tüm olay dizisi aşağıdaki gibidir –

  • Arka uç sunucusunu, bir sunucu tarafı istek (SSRF) saldırısı (SSRF) saldırısı yoluyla keyfi HTTP isteklerini göndermeye zorlamak için hazırlanmış bir XML içeren bir HTTP yayın isteği gönderin.
  • Önceden onaylanmış SSRF tarafından tetiklenen HTTP isteğine keyfi başlıklar enjekte etmek için bir Taşıma Dönüşü/Hat Besleme (CRLF) enjeksiyonu kullanın
  • Bu güvenlik açığını “Apps.example.com:7201/oa_html/help/../ieshostedsurvey.jsp” aracılığıyla internete maruz kalan bir Oracle EBS uygulamasına kaçırmak için bu güvenlik açığını kullanın ve kötü niyetli bir XSLT şablonu yükleyin

Saldırı, özünde, JSP dosyasının uzak bir URL’den güvenilmeyen bir stil sayfası yükleyebilmesinden yararlanır ve bir saldırganın keyfi kod yürütülmesi için kapıyı açar.

Şirket, “Bu kombinasyon, SSRF üzerinden bir saldırgan kontrol isteği çerçevelemesini ve ardından aynı TCP bağlantısını zincirle ek talepleri yeniden kullanmasını, güvenilirliği artırmasını ve gürültüyü azaltmasını sağlar.” Dedi. “HTTP tutma veya bağlantı yeniden kullanımı olarak da bilinen HTTP kalıcı bağlantılar, tek bir TCP bağlantısının her değişim için yeni bir bağlantı açmak yerine birden fazla HTTP isteği/yanıt çifti taşımasına izin verin.”

CIS Yapı Kitleri

CVE-2025-61882, o zamandan beri, firsi yazılım kampanyalarında kullanıldığını belirterek, federal ajansları 27 Ekim 2025’e kadar uygulamaya çağıran siber güvenlik ve altyapı güvenlik ajansı (CISA) tarafından bilinen sömürülen güvenlik açıklarına (KEV) kataloğuna eklendi.

WatchTowr’daki baş güvenlik araştırmacısı Jake Knott, yaptığı açıklamada, “CL0P, en azından Ağustos 2025’ten beri Oracle EBS’deki birden fazla güvenlik açıkından yararlanıyor, birkaç kurbandan büyük miktarda veri çalıyor ve geçen Pazartesi’den beri bu kurbanların bazılarına gasp e -postaları gönderiyor.” Dedi.

“Kanıtlara dayanarak, bunun CL0P etkinliği olduğuna inanıyoruz ve günler içinde birden fazla gruptan kitlesel, ayrım gözetmeyen sömürü görmeyi bekliyoruz. Oracle EBS’yi çalıştırırsanız, bu kırmızı uyarınızdır. Hemen yama, agresif bir şekilde avlayın ve kontrollerinizi sıkın – hızlı.”



Source link