Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

CISA потврди дека хакери ја искористиле SSRF ранливоста во Oracle E-Business Suite

Објавено: 22.10.2025

Агенцијата за сајбер-безбедност и инфраструктурна сигурност на САД (CISA) потврди дека ранливоста во Oracle E-Business Suite, означена како CVE-2025-61884, се користи во тековни хакерски напади, и ја додаде во својот каталог на познати експлоатирани ранливости (Known Exploited Vulnerabilities).

Како што претходно објави BleepingComputer, CVE-2025-61884 претставува неавтентицирана SSRF ранливост (Server-Side Request Forgery) во компонентата Oracle Configurator runtime, која беше поврзана со протечен експлоит користен во нападите во јули.

Американската сајбер агенција сега бара од федералните институции да ја закрпат оваа безбедносна ранливост до 10 ноември 2025 година.

Oracle ја откри ранливоста на 11 октомври, со оценка на сериозност од 7.5, предупредувајќи дека е лесно искористлива и може да се употреби за неовластен пристап до критични податоци или целосен пристап до сите податоци достапни преку Oracle Configurator.

Сепак, Oracle не откри дека ранливоста претходно била искористена, иако BleepingComputer потврди дека ажурирањето ја блокира експлоатацијата објавена од ShinyHunters и групата за изнуда Scattered Lapsus$.

Напади врз Oracle E-Business Suite

На почетокот на октомври, безбедносната фирма Mandiant откри дека Clop ransomware групата почнала да испраќа мејлови за изнуда до компании, тврдејќи дека украла податоци од Oracle E-Business Suite инстанци користејќи zero-day ранливости.

Oracle одговори дека нападите користеле веќе закрпени ранливости, кои биле откриени во јули.

На 3 октомври, групата ShinyHunters објави експлоит за Oracle на Telegram, наведувајќи дека Clop го користел. Следниот ден, Oracle ја објави CVE-2025-61882, во која proof-of-concept кодот беше наведен како индикатор на компромитација (IOC).

Меѓутоа, CrowdStrike и Mandiant открија дека Oracle EBS бил цел на две различни кампањи:

  • Јулска кампања: користела експлоит насочен кон SSRF ранливост во /configurator/UiServlet, која сега е потврдена како CVE-2025-61884.
  • Августовска кампања: користела поинаков експлоит против /OA_HTML/SyncServlet, поправен со CVE-2025-61882, преку mod_security правила за блокирање на endpoint-от и со „стабирање“ на SYNCSERVLET класата. Оваа ранливост се припишува на Clop.

watchTowr Labs исто така објави анализа на протечениот ShinyHunters експлоит, потврдувајќи дека тој бил насочен кон UiServlet SSRF синџирот на напад, а не кон SyncServlet.

Oracle ја објави CVE-2025-61884 на 11 октомври, но не потврди дека била искористена, иако ажурирањето ја закрпува експлоатацијата користена во јулиските напади.

BleepingComputer дозна дека закрпата за CVE-2025-61884 ја решава ранливоста со валидирање на параметарот “return_url” преку регуларен израз — доколку проверката не успее, барањето се блокира.

И понатаму останува нејасно зошто Oracle го наведе ShinyHunters експлоитот како IOC за CVE-2025-61882, кога всушност се однесува на CVE-2025-61884. За жал, Oracle не одговори на е-поштите од BleepingComputer за оваа грешка.

BleepingComputer повторно се обратил до Oracle за да дознае дали компанијата сега ќе ја означи CVE-2025-61882 како искористена, но не добил одговор.

Извори:

  • Bleeping Computer – „CISA confirms hackers exploited Oracle E-Business Suite SSRF flaw“ .Bleeping Computer