Oracle, iyi kullanılan ERP yazılım paketi Mass CL0P (aka Clop) fidye yazılımı saldırıları için en son vektör olarak ortaya çıktığı için E-Business Suite’teki Kritik Uzaktan Kod Yürütme (RCE) güvenlik açığı için bir düzeltme yaptı.
Oracle EBS ekosistemi, bilgisayar korsanlarına çok çeşitli yüksek değerli hedeflere ve potansiyel olarak aşırı etkilere erişim sağlayan kurumsal finansal ve operasyonel sistemlere derinlemesine yerleştirilmiştir.
Söz konusu kusur, CVE-20225-61882, EEB’lerin 1.2.2.3 ila 12.2.14 sürümlerinde bulunur ve kullanıcıların aynı anda birden fazla işlem çalıştırmasını sağlayan eşzamanlı bir görev işleme bileşenini etkiler.
CVSS ölçeğinde 9.8 olarak derecelendirilen, yararlanması nispeten kolay kabul edilir. Önemli olarak, kimlik doğrulanmamış bir saldırgan, herhangi bir kullanıcı etkileşimi gerekmeden ağ üzerinden kullanabilir ve RCE’ye yol açar.
Genellikle finansal ve operasyonel sistemlere derinlemesine gömülü olan Oracle EBS ekosistemi, geniş kapsamlı iş etkisi olan yüksek değerli hedefler sunar
“Oracle her zaman müşterilerin aktif olarak desteklenen sürümlerde kalmasını ve tüm güvenlik uyarılarını ve kritik yama güncelleme güvenlik yamalarını gecikmeden uygulamalarını önerir.
Tedarikçi, “Ekim 2023 kritik yama güncellemesinin, bu güvenlik uyarısındaki güncellemelerin uygulanması için bir ön koşul olduğunu unutmayın” diye ekledi.
Danışmanlık bildiriminde Oracle, CVE-2025-61882’nin sömürüsünü hem CL0P fidye yazılımı ekibine hem de dağınık Lapsus $ Hunters Collective’e bağladığı anlaşılan bir dizi uzlaşma göstergesini (IOCS) paylaştı-bu da dağınık örümcek olarak anlaşılmayan bir fidye yazılım uzmanı olarak biliniyordu.
WatchTowr baş güvenlik araştırmacısı Jake Knott, EBS’nin sömürüsünün Ağustos 2025’e kadar çıktığını söyledi ve 6 Ekim Pazartesi itibariyle CVE-2025-61882 için istismar kodunun halka açık olduğu konusunda uyardı..
Knott, “İlk bakışta, makul derecede karmaşık görünüyordu ve manuel olarak çoğaltmak için gerçek bir çaba gerektiriyordu. Ancak şimdi, çalışma istismar kodu sızdırıldığında, bu girişin engelini giderdi. Hafta sonu neredeyse hiç kimse yamamış. Bu yüzden her yerde kamu istismarı kodu ve açılmamış sistemlerle kritik bir kırılganlığa uyanıyoruz” dedi Knott.
“Kütle, günler içinde birden fazla gruptan ayrım gözetmeyen sömürü görmeyi bekliyoruz. Oracle EBS’yi çalıştırırsanız, bu kırmızı uyarınızdır. Hemen yama, agresif bir şekilde avlayın ve kontrollerinizi hızlı bir şekilde sıkın.”
LinkedIn hakkında yazan, Google Cloud’un Mantiant’ın teknik müdürü ve yönetim kurulu danışmanı Charles Carmakal, CL0P’nin birkaç ay önce yamalı olan bazıları da dahil olmak üzere neredeyse birçok EBS güvenlik açıklarından yararlandığını söyledi. Çete, geçen haftanın başından beri kurbanlarla temasa geçiyor, ancak Carmakal henüz hepsiyle temas kuramayabileceğini de sözlerine ekledi.
CL0P’nin tarihten uyarısı
2023’te görüldüğü gibi, Potansiyel olarak yüzlerce kurbanı zorlamak için bir kusurda devam eden yazılımın Moveit Yönetilen Dosya Aktarımı (MFT) yazılım ürününü başarılı bir şekilde hedeflediğinde, CL0P çetesi, yaygın olarak kullanılan yazılım paketleri aracılığıyla birden fazla alt kuruluşa karşı kitlesel sömürü faaliyetleri yürütme alışkanlığı haline getiriyor. Oracle EBS’nin şu anda görülen kitlesel hedeflemesi, bu yerleşik modus operandi’ye uyuyor.
Tarihsel olarak, CL0P’nin faaliyeti, uzun süredir kesinti dönemleri arasında kısa, yüksek profilli patlamalarda-muhtemelen kitlesel saldırılarının yarattığı idari yük nedeniyle-ve Kroll Siber ve Veri Dayanıklılığı Genel Müdürü Max Henderson, çetenin yeniden yüzeye çıkma olasılığı yüksek göründüğü birkaç hafta boyunca uyarı arasındaydı. Computer Weekly’ye başkalarının takip edebileceğini ve “korkunç” etkileri anlattığını söyledi.
Henderson, “Oracle’ın kurbanları ve kullanıcıları için acil bir acele olmalı, diğer gruplardan gelen saldırılar veya saldırılar devam edebileceğinden. Birçok kurban, önemsiz klasörlerinde oturan gasp e-postalarından habersiz olduğu için bu durumla uzun bir kuyruğu bekliyoruz” dedi.