CISA, CVE-2025-61884 olarak takip edilen bir Oracle E-Business Suite kusurunun saldırılarda kullanıldığını doğruladı ve bunu Bilinen Yararlanan Güvenlik Açıkları kataloğuna ekledi.
BleepingComputer daha önce CVE-2025-61884'ün, Temmuz saldırılarında kullanılan sızdırılmış bir istismarla bağlantılı olan, Oracle Yapılandırıcı çalışma zamanı bileşenindeki kimliği doğrulanmamış bir sunucu tarafı istek sahteciliği (SSRF) güvenlik açığı olduğunu bildirmişti.
ABD siber güvenlik kurumu artık federal kurumların güvenlik açığını 10 Kasım 2025'e kadar düzeltmelerini istiyor.
Oracle, kusuru 11 Ekim'de açıklayarak kusura 7,5 önem derecesi verdi ve bu kusurun kolaylıkla istismar edilebileceği ve "kritik verilere yetkisiz erişim veya Oracle Yapılandırıcı ile erişilebilen tüm verilere tam erişim" elde etmek için kullanılabileceği konusunda uyarıda bulundu.
Ancak BleepingComputer, güncellemenin ShinyHunters ve Scattered Lapsus$ gasp grubu tarafından sızdırılan istismarı engellediğini doğrulamasına rağmen Oracle, bu güvenlik açığından daha önce yararlanıldığını açıklamadı.
Ekim ayı başlarında Mandiant, Clop fidye yazılımı çetesinin sıfır gün kusurlarını kullanarak Oracle E-Business Suite örneklerinden veri çaldıklarını iddia ederek şirketlere şantaj e-postaları göndermeye başladığını açıkladı.
Oracle bu habere, tehdit aktörlerinin Temmuz ayında açıklanan daha önce yamalanmış kusurlardan yararlandığını belirterek yanıt verdi.
3 Ekim'de ShinyHunters, Telegram'da bir Oracle istismarını sızdırdı ve bunun Clop tarafından kullanıldığını gösterdi. Ertesi gün Oracle, sızdırılan kavram kanıtını güvenlik ihlali göstergelerinden (IOC'ler) biri olarak listeleyen CVE-2025-61882'yi açıkladı.
Ancak CrowdStrike ve Mandiant tarafından yapılan araştırmalar, Oracle EBS'nin iki farklı kampanyada hedef alındığını ortaya çıkardı.
watchTowr Labs ayrıca sızdırılan ShinyHunters saldırısının bir analizini yayınladı ve bunun SyncServlet'i değil UiServlet SSRF saldırı zincirini hedeflediğini doğruladı.
Oracle, 11 Ekim'de CVE-2025-61884'ü açıkladı ancak Temmuz saldırılarında kullanılan istismarı düzeltmiş olmasına rağmen istismar edilip edilmediğini doğrulamadı.
BleepingComputer, CVE-2025-61884 yamasının, saldırgan tarafından sağlanan bir "return_url"yi normal bir ifade kullanarak doğrulayarak kusuru giderdiğini öğrendi. Doğrulama başarısız olursa istek engellenir.
Bugüne kadar Oracle'ın ShinyHunters istismarını neden CVE-2025-61882 için bir IOC olarak listelediği, oysa aslında CVE-2025-61884 için tasarlandığı belirsizliğini koruyor. Ne yazık ki Oracle, BleepingComputer'ın yanlış IOC ile ilgili e-postalarına yanıt vermedi.
BleepingComputer, CVE-2025-61882 kusurunun istismar edilmiş olarak işaretlenip işaretlenmeyeceği konusunda Oracle ile bir kez daha iletişime geçti ancak e-postamıza bir yanıt alamadı.
Ortamların %46'sında şifreler kırıldı; bu oran geçen yılki %25'ten neredeyse iki katına çıktı.
Önleme, tespit ve veri hırsızlığı eğilimlerine ilişkin daha fazla bulguya kapsamlı bir bakış için Picus Blue Report 2025'i hemen edinin.
Oracle, ShinyHunters tarafından sızdırılan sıfır gün istismarını sessizce düzeltir
American Airlines yan kuruluşu Envoy, Oracle veri hırsızlığı saldırısını doğruladı
Microsoft, sıfır gün saldırılarından sonra Edge'de IE modu erişimini kısıtlıyor
Oracle, yeni E-Business Suite kusuru için acil durum yamasını yayınladı
Clop, ağustos ayının başından bu yana Oracle sıfır gününü veri hırsızlığı amacıyla kullanıyor
Kaynak: Bleeping Computer