Oracle E-Business Suite CVE-2025-61882 Açıklaması
Oracle, E-Business Suite‘de kritik bir zero-day güvenlik açığı olan CVE-2025-61882 hakkında önemli bir uyarı yaptı. Bu açık, saldırganların kimlik doğrulaması olmadan uzaktan kod yürütmesi yapmalarına olanak tanıyor ve bu güvenlik açığı, özellikle Clop fidye yazılımı ile gerçekleştirilen veri hırsızlığı saldırılarında etkin bir şekilde kullanılıyor.
Güvenlik Açığı Hakkında Bilgiler
CVE-2025-61882, Oracle E-Business Suite’in Oracle Concurrent Processing ürününde yer almakta ve CVSS temel puanı 9.8 olarak belirlenmiştir. Bu yüksek puan, açık üzerinden gerçekleştirilen istismarların kolaylığı ve kimlik doğrulama gerektirmemesi nedeniyle ortaya çıkıyor. Oracle, konuyla ilgili bir güvenlik uyarısında “Bu güvenlik alarmı, Oracle E-Business Suite’deki CVE-2025-61882 güvenlik açığını ele almaktadır,” şeklinde bilgi verdi.
Oracle’ın açıklamasına göre, bu güvenlik açığı, bir kullanıcı adı veya şifre gerektirmeden ağ üzerinden uzaktan istismar edilebiliyor. Başarılı bir istismar durumunda, uzaktan kod yürütülmesi mümkün hale geliyor.
Clop Veri Hırsızlığı Saldırılarında Kullanımı
Oracle, bu güvenlik açığının tam olarak bir zero-day açığı olarak nitelendirilmediğini belirtse de, tehdit aktörleri tarafından Telegram’da paylaşılan ve Oracle EBS istismarına dair bazı göstergeleri de paylaştı. Mandiant – Google Cloud‘un CTO’su Charles Carmakal, Clop fidye yazılımı çetesi tarafından Ağustos 2025’te gerçekleştirilen veri hırsızlığı saldırılarında bu açığın kullanıldığını doğruladı.
Carmakal, “Clop, Oracle EBS’deki birçok açığı istismar etti. Bu sayede birçok veriyi ele geçirdiler,” dedi. “Ağustos 2025’te, Oracle’ın Temmuz 2025 güncellemesinde yamanan açıkların yanı sıra, bu hafta sonu yamalanan CVE-2025-61882’yi de istismar ettiler.”
Clop’un Fidye Talepleri
Clop’un son fidye kampanyası, Mandiant ve Google Threat Intelligence Group (GTIG) tarafından rapor edildi. Bu kampanya çerçevesinde, birçok şirkete tehdit aktörleri tarafından gönderilen e-postalarda, Clop’un şirketlerin Oracle E-Business Suite sistemlerinden veri çaldığı ve bu verilerin sızmaması için fidye talep edildiği belirtildi.
E-postalarda “Biz CL0P ekibiyiz. Hakkımızda bilgi almadıysanız, internette arama yapabilirsiniz,” ifadesi yer aldı. Saldırganlar, “Oracle E-Business Suite uygulamanıza girişi sağladık ve çok sayıda belge kopyaladık,” diyerek, şirkete tehditte bulundular.
Clop’un Saldırı Tarihçesi
Clop fidye yazılımı çetesi, geniş kapsamlı veri hırsızlığı saldırılarıyla tanınmaktadır ve genellikle zero-day güvenlik açıklarını istismar etmektedir. Clop, BleepingComputer’a yaptığı açıklamada, geliştirdikleri bu yeni saldırı yönteminin arka planında Oracle’ın ürünündeki bir açığın yattığını doğruladı.
Oracle, ilk olarak Clop’un bu saldırı kampanyasını, Temmuz 2025’te yamalanan açıklarla ilişkilendirmişti. Ancak, sonrasında zero-day güvenlik açığı ile gerçekleştirilen saldırılar arasında bir bağlantı kuruldu.
Scattered Lapsus$ Hunters’ın Rolü
Clop’un veri hırsızlığı saldırıları ve Oracle zero-day açığını ilk olarak farklı bir tehdit aktörleri grubu olan Scattered Lapsus$ Hunters duyurdu. Bu grup, Salesforce müşterilerine yönelik geniş çaplı veri hırsızlığı saldırılarıyla da gündeme gelmiştir. Geçtiğimiz günlerde, bu aktörler Telegram’da Clop saldırılarıyla ilişkili iki dosya sızıntısı gerçekleştirdi.
Sızdırılan dosyalardan biri olan “GIFT_FROM_CL0P.7z”, Oracle’ın kaynak kodunu içermektedir. Diğer bir dosya ise, Clop’un Oracle E-Business Suite’i yanında içeren istismar kodlarını barındırmaktadır.
Sonuç
Oracle, CVE-2025-61882 güvenlik açığı konusunda önemli bir uyarı yaparak, kullanıcıları sistemlerini güncellemeye ve koruma altına almaya teşvik ediyor. Ancak fidye yazılımları ve tehdit aktörleri arasındaki iş birlikleri, veri güvenliğini zorlaştırmaktadır. Bu durum, özellikle büyük kuruluşların daha dikkatli olması gerektiğini gösteriyor. Güvenlik açıklarının zamanında tespit edilip kapatılması, saldırıların önlenmesi adına kritik öneme sahiptir.
