Kötü şöhretli Clop fidye yazılımı çetesi, teknoloji devinin dahili sistemlerinin başarılı bir şekilde ihlal edildiği iddiasıyla Oracle’ı karanlık web sızıntı sitesinde listeledi.
Bu gelişme, Oracle E-Business Suite’te (EBS) CVE-2025-61882 olarak tanımlanan kritik bir sıfır gün güvenlik açığından yararlanan devasa bir gasp kampanyasının parçası.
Graceful Spider olarak takip edilen grup, Oracle’dan ve düzinelerce yüksek profilli müşterisinden hassas verileri sızdırdığını iddia ederek, MOVEit olayını hatırlatan tedarik zinciri saldırılarında önemli bir artışa işaret ediyor.
Sıfır Gün İstismarı: CVE-2025-61882
Saldırı vektörü, Oracle E-Business Suite’teki kritik, kimliği doğrulanmamış bir uzaktan kod yürütme (RCE) güvenlik açığına odaklanıyor.
Güvenlik araştırmacıları, Clop bağlı şirketlerinin bu kusurdan Ağustos 2025 gibi erken bir tarihte, yani Oracle’ın Ekim 2025’te bir yama yayınlamasından aylar önce yararlanmaya başladığını belirtiyor.
İstismar zinciri özellikle şunları hedefler: OA_HTML/SyncServlet Kimlik doğrulamayı atlamak için uç nokta, ardından kötü amaçlı XSLT şablon enjeksiyonu OA_HTML/RF.jsp keyfi komutları yürütmek için.
Bu “ön kimlik doğrulama” yapısı, saldırganların geçerli kimlik bilgileri olmadan sunucuların güvenliğini aşmasına olanak tanıdı ve onlara hassas ERP verileri üzerinde tam kontrol sağladı.
| Güvenlik Açığı Ayrıntısı | Teknik Şartname |
|---|---|
| CVE Kimliği | CVE-2025-61882 |
| Etkilenen Ürün | Oracle E-Business Suite (Sürüm 12.2.3 – 12.2.14) |
| Güvenlik Açığı Türü | Kimliği Doğrulanmamış Uzaktan Kod Yürütme (RCE) |
| CVSS Puanı | 9.8 (Kritik) |
| Vektörden Yararlanma | Kimlik Doğrulama Baypas yoluyla SyncServlet & XSLT Enjeksiyonu |
| Yama Durumu | Yama Yapıldı (Ekim 2025 Güvenlik Uyarısı) |
Gasp Kampanyası ve Öne Çıkan Kurbanlar
Clop’un sızıntı sitesinden elde edilen kanıtlar, ORACLE.COM için MAZDA.COM, HUMANA.COM ve Washington Post gibi büyük kuruluşların yanında görünen “SAYFA OLUŞTURULDU” durumunu gösteriyor.
Oracle Corporation’ın listelenmesi, satıcının kendi yazılım kusurunun kurbanı olabileceğini ve potansiyel olarak dahili kurumsal verileri açığa çıkarabileceğini gösteriyor.
Mağdurlar support@pubstorm gibi adreslerden şantaj e-postaları aldıklarını bildirdi[.]com, fidye taleplerinin karşılanmaması halinde mali ve kişisel kayıtların açıklanacağı tehdidinde bulundu.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
