Resculity ve WatchTowr araştırmacıları, internete bakan Oracle ESB örneklerinde CVE-2025-61882’den yararlanmak için saldırganlar tarafından kullanılan sızdırılmış senaryoları analiz ettiler.
Saldırganlar CL0P veya Lapsus $ olsun, hem veya ek tehdit aktörleri olsun, senaryolar telgrafta sızdırıldığı için hala bilinmemektedir.
CVE-2025-61882 Susturan Komut Dosyaları Analiz Edildi
Watchtowr araştırmacıları Sina Kheirkhah ve Jake Knot, “Gözlemlediğimiz şey, CVE-2025-61882’nin (…) ‘sadece’ bir kırılganlık değil. Çok sayıda küçük/orta zayıflığın şiirsel bir akışı”.
“Bu dikkat çekicidir, çünkü (…) Bu güvenlik açıklarını ilk keşfeden ve onları zincirleyen Oracle EBS’yi bu noktada inanılmaz derecede iyi bilir.”
Saldırıyı çıkarmak için iki Python betiği gereklidir: Server.pybir HTTP sunucusu uygulaması ve Exp.pyOracle EBS sunucusunu saldırganın kötü niyetli yükünü getirmeye zorlayan bir istismar istemci.
“Kullanarak Exp.py Komut dosyası, saldırgan hedef Oracle EBS örneğine özel olarak hazırlanmış bir HTTP isteği gönderir. Bu istek bir return_url Saldırganın yük sunucusuna başvuran parametre. Temel güvenlik filtrelerinden kaçmak için URL, sayısal HTML karakter varlıkları kullanılarak kodlanır. Bu, EBS sunucusunun saldırgan tarafından kontrol edilen sunucudan içerik getirmesine ve işlemesine neden olur ve sunucu tarafı isteği amptör (SSRF) etkili bir şekilde yürütür ”dedi.
“Takip ettikten sonra return_urlEBS uygulaması kötü amaçlı XSL dosyasını alır. Dosya, Java’s kullanılarak kod çözülmüş ve yürütülen gömülü bir JavaScript yükü içerir. javax.script API. “
Yük çalıştırıldıktan sonra, EBS sunucusu saldırganın dinleyicisine geri dönen bir kabuk bağlantısı başlatır. Araştırmacılar, “Kabuk tipik olarak Oracle kullanıcı bağlamı altında çalışarak saldırganın hedef sistemin çalışma ortamına etkileşimli erişimini sağlıyor” diye ekledi.
Daha fazla saldırı bekleniyor
Saldırganların Oracle EBS örneklerini veya diğer güvenlik açıklarını ihlal etmek için sadece CVE-2025-61882 kullanıp kullanmadığı hala belirsiz. Oracle başlangıçta saldırganların Temmuz 2025’te yamalı kusurlardan yararlandığını, ancak o zamandan beri bu görevi kaldırdığını söyledi.
Neredeyse kesin olan, bu ve muhtemelen diğer saldırganların internette maruz kalan Oracle EBS örneklerini hedeflemek için sızdırılan istismar komut dosyalarından yararlanmaya devam edeceğidir.
Mantiant’a göre, kusurun sömürülmesi ve sonraki veri hırsızlığı saldırıları Ağustos 2025’te başladı.
Etkilenen kuruluşların çoğu, CL0P gasp e -postalarını aldıkları için vurulduklarını zaten biliyorlar. Ancak internete bakan Oracle EBS örneklerine sahip tüm kuruluşlar, Oracle’ın CVE-2025-61882 Güvenlik Danışmanlığı’nda sağlanan uzlaşma göstergelerini kontrol etmeli ve örnekleri talimat verilen tüm düzeltmelerle güncellemelidir.
WatchTowr araştırmacıları, bir Oracle E-Business Suite örneğinin CVE-2025-61882’ye karşı savunmasız olup olmadığını kontrol etmek için kullanılabilecek bir senaryo yayınladılar ve CISA, bilinen sömürülen güvenlik açığı kataloğuna CVE-2025-61882 ekledi.
En son ihlalleri, güvenlik açıklarını ve siber güvenlik tehditlerini asla kaçırmak için Breaking News e-posta uyarımıza abone olun. BURADA Abone Olun!