ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Oracle E-Business Suite’te tespit edilen ve CVE-2025-61884 koduyla takip edilen güvenlik açığının siber saldırılarda kullanıldığını doğruladı. Ajans, açığı “bilinen istismar edilen güvenlik açıkları” (Known Exploited Vulnerabilities) kataloğuna ekledi.
Oracle E-Business Suite Açığı Saldırganlara Yetkisiz Erişim Sağladı
CVE-2025-61884, Oracle Configurator bileşeninde yer alan kimlik doğrulaması gerektirmeyen bir sunucu tarafı istek sahteciliği (SSRF) açığı olarak tanımlandı. Bu açık, saldırganların sistem içi kaynaklara erişmesine ve hassas verilere ulaşmasına olanak tanıyabiliyor.
Oracle, 11 Ekim’de yayınladığı güvenlik duyurusunda açığın 7.5 önem derecesine sahip olduğunu ve kolayca kötüye kullanılabileceğini belirtti. Şirket, açığın yetkisiz kişilerin kritik verilere erişmesine yol açabileceğini ifade etti.
CISA, tüm federal kurumlara CVE-2025-61884 için yayınlanan güvenlik güncellemesini en geç 10 Kasım 2025 tarihine kadar uygulama zorunluluğu getirdi. Ajans, bu tür açıkların gecikmeden kapatılmaması hâlinde kamu altyapılarının hedef hâline gelebileceğini vurguladı. Temmuz 2025’te siber güvenlik firmaları Mandiant ve CrowdStrike, Oracle E-Business Suite sunucularına yönelik saldırılarda bu açığın kullanıldığını bildirmişti. Araştırmalar, ShinyHunters ve Scattered Lapsus$ adlı grupların bu açığı istismar ederek kurum verilerini çaldığını ortaya koydu.
Telegram üzerinden sızdırılan bir sömürü aracı (exploit) de saldırıların kaynağını doğruladı. Oracle, sızdırılan aracın Clop fidye yazılımı grubunun eline geçtiğini ancak ilgili açıkların Temmuz güncellemeleriyle giderildiğini açıkladı. Mandiant tarafından yürütülen incelemelerde Oracle E-Business Suite’in iki ayrı saldırı dalgasıyla karşı karşıya kaldığı tespit edildi.
- Temmuz kampanyası: /configurator/UiServlet uç noktasındaki SSRF açığını hedef aldı. Bu açık, CVE-2025-61884 olarak tanımlandı.
- Ağustos kampanyası: /OA_HTML/SyncServlet uç noktasındaki farklı bir açığı hedef aldı. Bu güvenlik zafiyeti CVE-2025-61882 olarak listelendi.
CrowdStrike ve watchTowr Labs araştırmacıları, ShinyHunters tarafından yayınlanan sömürü aracının yalnızca UiServlet zincirini hedeflediğini doğruladı. Bazı güvenlik araştırmacıları, Oracle’ın Temmuz saldırılarına ilişkin göstergeleri (IOC) yanlış şekilde CVE-2025-61882 ile ilişkilendirdiğini belirtti. Aslında söz konusu göstergeler CVE-2025-61884 açığıyla bağlantılıydı. Oracle, bu konuda gelen sorulara henüz yanıt vermedi.
CVE-2025-61884 için yayınlanan yama, saldırganların gönderdiği “return_url” parametresini doğrulamak için düzenli ifadeler (regex) kullanarak hatalı istekleri engelliyor. Böylece yetkisiz sorguların sistem içinde işlenmesi önleniyor. Etkilenen sistemler şu şekilde açıklandı:
ÜrünBileşenAçık KoduGüncelleme DurumuOracle E-Business SuiteConfigurator RuntimeCVE-2025-61884Güncelleme YayınlandıOracle E-Business SuiteSyncServletCVE-2025-61882Güncelleme Yayınlandı
Oracle, kullanıcıların en son yamaları kurmasını ve güncelleme sonrasında sistem yapılandırmalarını kontrol etmesini tavsiye ediyor.
Oracle E-Business Suite kullanıcıları, CVE-2025-61884 açığını hedef alan saldırılara karşı en kısa sürede sistemlerini güncellemelidir. CISA’nın uyarısı, tehdit aktörlerinin bu açığı aktif biçimde kullandığını doğruluyor. Güncellemelerin uygulanmaması veri ihlalleri, sistem ele geçirme girişimleri ve yetkisiz erişim risklerini artırabilir.
