Η CISA επιβεβαίωσε ότι ένα ελάττωμα του Oracle E-Business Suite που εντοπίζεται ως CVE-2025-61884 γίνεται αντικείμενο εκμετάλλευσης σε επιθέσεις, προσθέτοντάς το στον κατάλογο Γνωστών Εκμεταλλευόμενων Ευπαθειών.
Το BleepingComputer ανέφερε προηγουμένως ότι το CVE-2025-61884 είναι μια ευπάθεια πλαστογράφησης αιτημάτων χωρίς έλεγχο ταυτότητας (SSRF) στο στοιχείο χρόνου εκτέλεσης του Oracle Configurator, το οποίο συνδέθηκε με μια διαρροή εκμετάλλευσης που χρησιμοποιήθηκε στις επιθέσεις Ιουλίου.
Η αμερικανική υπηρεσία κυβερνοασφάλειας απαιτεί τώρα από τις ομοσπονδιακές υπηρεσίες να επιδιορθώσουν την ευπάθεια ασφαλείας έως τις 10 Νοεμβρίου 2025.
Μαντείο αποκάλυψε το ελάττωμα στις 11 Οκτωβρίουδίνοντάς του βαθμολογία σοβαρότητας 7,5 και προειδοποιώντας ότι ήταν εύκολα εκμεταλλεύσιμο και ότι θα μπορούσε να χρησιμοποιηθεί για να αποκτήσει “μη εξουσιοδοτημένη πρόσβαση σε κρίσιμα δεδομένα ή πλήρη πρόσβαση σε όλα τα προσβάσιμα δεδομένα του Oracle Configurator”.
Ωστόσο, η Oracle δεν έχει αποκαλύψει ότι η ευπάθεια είχε γίνει στο παρελθόν αντικείμενο εκμετάλλευσης, παρά το γεγονός ότι η BleepingComputer επιβεβαίωσε ότι η ενημέρωση αποκλείει την εκμετάλλευση που διέρρευσε από το ShinyHunters και την ομάδα εκβιασμών Scattered Lapsus$.
Η Oracle E-Business Suite δέχεται επίθεση
Στις αρχές Οκτωβρίου, η Mandiant αποκάλυψε ότι η συμμορία ransomware Clop είχε αρχίσει να στέλνει μηνύματα εκβιασμού σε εταιρείες, υποστηρίζοντας ότι είχαν κλέψει δεδομένα από περιπτώσεις Oracle E-Business Suite χρησιμοποιώντας ελαττώματα zero-day.
Η Oracle απάντησε σε αυτές τις ειδήσεις δηλώνοντας ότι οι φορείς της απειλής είχαν εκμεταλλευτεί προηγουμένως διορθωμένα ελαττώματα που αποκαλύφθηκαν τον Ιούλιο.
Στις 3 Οκτωβρίου, το ShinyHunters διέρρευσε ένα exploit της Oracle στο Telegram, υποδεικνύοντας ότι χρησιμοποιήθηκε από τον Clop. Την επόμενη μέρα, η Oracle αποκάλυψε CVE-2025-61882αναφέροντας το αποδεικτικό της ιδέας που διέρρευσε ως έναν από τους δείκτες συμβιβασμού (IOC).
Ωστόσο, έρευνες από CrowdStrike και Mandiant αποκάλυψε ότι η Oracle EBS είχε στοχοποιηθεί σε δύο διαφορετικές καμπάνιες.
- Εκστρατεία Ιουλίου: Χρησιμοποίησε ένα exploit που στόχευε ένα ελάττωμα SSRF στο “
/configurator/UiServlet” τελικό σημείο, το οποίο πλέον έχει επιβεβαιωθεί ως CVE-2025-61884. - Εκστρατεία Αυγούστου: Χρησιμοποίησε μια διαφορετική εκμετάλλευση ενάντια στο “
/OA_HTML/SyncServlet” τελικό σημείο, και διορθώθηκε σύμφωνα με το CVE-2025-61882 μέσω κανόνων mod_security για τον αποκλεισμό του τελικού σημείου και την απομάκρυνση της κλάσης SYNCSERVLET. Αυτό το ελάττωμα αποδίδεται στο Clop.
WatchTowr Labs επίσης δημοσίευσε ανάλυση του εκμεταλλεύματος ShinyHunters που διέρρευσε, επιβεβαιώνοντας ότι στόχευε την αλυσίδα επιθέσεων UiServlet SSRF και όχι την αλυσίδα SyncServlet.
Η Oracle αποκάλυψε το CVE-2025-61884 στις 11 Οκτωβρίου, αλλά δεν επιβεβαίωσε εάν είχε γίνει αντικείμενο εκμετάλλευσης, παρά το γεγονός ότι είχε διορθώσει το exploit που χρησιμοποιήθηκε στις επιθέσεις του Ιουλίου.
Το BleepingComputer έμαθε ότι η ενημέρωση κώδικα για το CVE-2025-61884 αντιμετωπίζει το ελάττωμα επικυρώνοντας ένα “return_url” που παρέχεται από τον εισβολέα χρησιμοποιώντας μια κανονική έκφραση. Εάν η επικύρωση αποτύχει, το αίτημα μπλοκάρεται.
Μέχρι σήμερα, παραμένει ασαφές γιατί η Oracle κατέταξε το exploit ShinyHunters ως ΔΟΕ για το CVE-2025-61882, ενώ στην πραγματικότητα προορίζεται για το CVE-2025-61884. Δυστυχώς, η Oracle δεν έχει απαντήσει στα email του BleepingComputer σχετικά με την εσφαλμένη ΔΟΕ.
Η BleepingComputer επικοινώνησε για άλλη μια φορά με την Oracle σχετικά με το εάν θα επισημάνει τώρα το ελάττωμα CVE-2025-61882 ως εκμετάλλευση, αλλά δεν έλαβε απάντηση στο email μας.
Το 46% των περιβαλλόντων είχαν σπάσει κωδικούς πρόσβασης, σχεδόν διπλασιασμένος από 25% πέρυσι.
Λάβετε τώρα την Έκθεση Picus Blue 2025 για μια ολοκληρωμένη ματιά σε περισσότερα ευρήματα σχετικά με τις τάσεις πρόληψης, ανίχνευσης και διείσδυσης δεδομένων.
VIA: bleepingcomputer.com
