Siber suç, sahtekarlık yönetimi ve siber suç
Acil durum yamasını sıfır gün kusuru için dağıtın, saldırı belirtileri avı, uzmanları uyarın
Mathew J. Schwartz (Euroinfosec) •
7 Ekim 2025
Oracle, vahşi doğada istismar edilen Oracle E-Business Suite’te sıfır günlük bir güvenlik açığını yamaladı. Güvenlik uzmanları, tüm EBS kullanan kuruluşları bir aydan fazla süren sömürüsünü takiben güncellemeyi olabildiğince çabuk yüklemeye çağırıyor.
Ayrıca bakınız: Ondemand | Kuzey Kore’nin Gizli It Ordusu ve Nasıl Savaşır
CVE-2025-61882 atanan kritik güvenlik açığı, 9.8 CVSS puanına sahiptir, bu da “kimlik doğrulaması olmadan uzaktan sömürülebilir olduğunu, yani bir kullanıcı adı ve şifresine ihtiyaç duymadan bir ağ üzerinden kullanılabilir” diyor Oracle’ın güvenlik uyarısı, ilk olarak Cumartesi günü yayınlandı ve daha sonra güncellendi. “Başarılı bir şekilde sömürülürse, bu güvenlik açığı uzaktan kod yürütülmesine neden olabilir.”
Güvenlik uzmanları, Oracle e-iş paketini internete maruz bırakan herhangi bir organizasyonun zaten sömürülme riski yüksek olduğu konusunda uyardı. Bir veya daha fazla fidye yazılımı kullanma grubu, CVE-2025-61882’yi ve en azından Ağustos ayından bu yana zaten bilinen ve yamalı-aka n-gün-güvenlik açıklarını hedeflemiş olabilir.
Güvenlik açığı, Oracle eşzamanlı işleme ürünündeki BI yayıncı entegrasyon bileşeninde bulunur, “kolayca kullanılabilir” ve “Oracle eşzamanlı işlemeyi tehlikeye atmasına izin verilmesine izin verir” dedi.
CVE-2025-61882 güvenlik açığı, Oracle E-Business Suite’in hala destekli 12.2.3 ila 12.2.14 sürümlerinde bulunur ve daha eski, daha fazla destekli versiyonlarda da mevcut olabilir. Oracle, “Etkilenen sürümlerin önceki sürümlerinin de bu güvenlik açıklarından etkilenmesi muhtemeldir.” Dedi. “Sonuç olarak Oracle, müşterilerin desteklenen sürümlere yükseltilmesini önerir.”
Şirketin Cumartesi günü sıfır gün kusuru yamasının yayınlanması, Oracle Security STK Rob Duhart’ın müşterilere, saldırganların “daha önce Temmuz 2025 Kritik Yama Güncellemesinde ele alınan kırılganlıkları” henüz yamaladığından şüphelendiğinden şüphelendiğinden sadece iki gün sonra geldi (bakınız: bakınız: bkz: bkz:: Oracle, müşteri gaspına bağlı sıfır günlük istismar görmüyor).
Daha fazla soruşturmadan sonra Oracle, sadece bu kusurlardan değil, aynı zamanda sıfır gün kırılganlığından da şüphelendiğini söyledi. Duhart, ilk değerlendirmesinin güncellenmesinde, “Oracle E-Business Suite (EBS) müşterilerinin bu güvenlik uyarısı tarafından sağlanan rehberliği en kısa sürede uygulamalarını şiddetle tavsiye ediyoruz.” Dedi.
Oracle, CVE-2025-61882 Patch sürüm notlarında, “Ekim 2023 kritik yama güncellemesinin, güncellemelerin bu güvenlik uyarısındaki uygulanması için bir ön koşul olduğunu unutmayın.” Dedi.
Güvenlik uzmanları, kırılganlığın en azından Clop, aka CL0P, fidye yazılım grubu tarafından kullanıldığını söyledi. Google Cloud’un maniant olay müdahale grubunun CTO’su Charles Carmakal, “Oracle’ın Temmuz 2025 güncellemesinde yamalanan güvenlik açıkları ve bu hafta sonu yamalı olanı da dahil olmak üzere çok sayıda güvenlik açığı kullanıldı.” Dedi.
29 Eylül’den beri “Clop birkaç kurbana gasp e -posta gönderiyor” dedi. “Ancak, henüz tüm kurbanlara ulaşmaya çalışmamış olabileceğini lütfen unutmayın.”
Güvenlik uzmanları, kurban kuruluşlarındaki üst düzey yöneticilerin, en az 50 milyon dolarlık biri de dahil olmak üzere büyük fidye talepleri olan e -postalar aldığını bildiriyor. Kaç kurban müzakere etmiş olabilir veya fidye ödemiş olabilir henüz net değil (bkz:: Gaspçılar Mass Oracle E-Business Suite Veri Hırsızlığı).
Clop’un veri sızıntısı sitesinde yayınlandığı gibi, “E-postalar tehlikeye atılmış işletme e-posta hesaplarından veya yeni kayıtlı hesaplardan gönderildi, ancak fidye yazılımı operatörleri ile otantik iletişim noktaları içeriyordu.” Dedi.
Uzmanlar sadece en son güvenlik güncellemelerini yüklemeyi önerir. Resecurity, “İktişam sonrası, CL0P, gasp için verileri aşamalı olarak aşamalı olarak atar veya operasyonları bozacak fidye yazılımı dağıtır.” Dedi. “Bu kritik tehdidi azaltmak için kuruluşlar Temmuz 2025 yamalarını uygulamalı, XSL işlemedeki Java uzantılarını devre dışı bırakmalı, giden ağ trafiğini kısıtlamalı ve şüpheli HTTP istekleri veya XSL işleme hataları için izlemelidir.”
Mantiant’ın Carmakal, CVE-2025-61882 sıfır gün güvenlik açığı olsa da, şimdi bir yama yayınlandığına göre, daha fazla saldırganın şüphesiz onu tehlikeye atmaya çalışacağını söyledi. “Yamanın ne zaman uygulandığına bakılmaksızın, daha önce meydana gelen geniş, kitlesel sıfır gün sömürüsü (ve diğer aktörler tarafından devam edecek N-Day sömürüsü) göz önüne alındığında, kuruluşlar zaten tehlikeye girip girmediklerini incelemelidir.” Dedi.
Tehdit istihbarat firması Watchtowr, CVE-2025-61882 için bir kavram kanıtı sömürüsünü analiz etti ve “önceden doğrulanmış uzaktan kod yürütme elde etmek için birlikte düzenlenmiş beş farklı böceği içerdiğini ve” bu güvenlik açıklıklarını ilk keşfettiğini ve onları net bir şekilde bildiğini ve daha fazla maruz kaldığını gösterdiğini ve daha fazla maruz kaldığını buldu.
Oracle, saldırılara bağlı olan saldırılara bağlı uzlaşma göstergeleri, saldırılarda kullanılan dosyalar için karmaların yanı sıra karma işlemlerin yanı sıra. Bunlar, sömürülen sistemlere bırakılan uygunsuz bir ZIP arşivi içerir, oracle_ebs_nday_exploit_poc_scattered_lapsus_retard_cl0p_hunters.zip. Bu arşiv iki kötü niyetli Python komut dosyası içerir ve dağınık Lapsus $ Hunters Ransomware Collective için adlandırılmıştır.
Dosya karmaları “şüpheli sızdırılmış istismar komut dosyası için” ve “sızdırılan istismar komut dosyasının uygun olup olmadığı ve CVE-2025-61882 veya daha eski bir N-Day güvenlik açığından yararlanıp yararlanmadığı” dedi.
Rapid7, “Şüpheli istismar kodunun sızmasıyla, birden fazla tehdit aktörünün geniş sömürüsünün başlaması büyük olasılıkla.” Dedi. Buna göre, tüm EBS kullanıcılarına “Oracle E-Business Suite’in en son sürümünde acil durumlarda güncellenmesini” ve “internete bağlı örnekler için herhangi bir potansiyel kötü amaçlı etkinlik tespit etmek için uygun tehdit avı yürüt” leri önerdi.
Görünen istismar kodu, bu ayın başlarında telgraf kanalında “Oracle E-Business Suite müşterilerinin geniş bir uzlaşmasına” küçük bir istismar demeti ve gasp kampanyası yayınlayan parlak Lapsus $ Hunters’a kadar izler. Rapid7, yalnızca istismar kodu Clop’un hedeflere karşı kullandığı gibi görünmediği, aynı zamanda rakip grubu “RFJ” e bildirmekle tehdit ettiği göz önüne alındığında, sürümün Clop için bir “DOX” olabileceğini söyledi. Bu, ABD Dışişleri Bakanlığı’nın 2023’ten beri Clop üyelerinin tanımlanmasına veya tutuklanmasına yol açan bilgiler için 10 milyon dolara kadar bir ödül sunan Adalet İçin Ödüller programını ifade ediyor.
“Her iki kolektif de birbirleriyle rekabet ediyor gibi görünüyor, endüstriyi büyük ölçekli güvenlik açıklarından kaynaklanan yeni büyük hacklerle şaşırtıyor,” dedi (bkz: bkz: bkz: Fidye Yazılımı Grubu Salesforce Müşteri Veri Sızıntı Sitesini Tanıttı).
Britanya’nın Ulusal Olay Müdahale Lideri, Ulusal Siber Güvenlik Merkezi Pazartesi günü, tüm Oracle E-Business Suite kullanıcılarını zaten saldırıya uğramış olup olmadıklarını görmek için bir “uzlaşma değerlendirmesi” yapmaya çağırdı. Eğer öyleyse, olayı Oracle’ın Ürün Güvenliği Olay Müdahale Ekibine bildirin ve İngiltere’de NCSC’ye de bildirin.
ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı, Pazartesi günü bilinen eksploya güvenlik açıkları kataloğuna CVE-2025-61882 ekledi. CISA, Yamayı uygulamak veya Oracle E-Business Suite’i kullanarak son teslim tarihini kullanan tüm federal sivil ajanslar için 27 Ekim son tarihi belirledi.