CVE-2025-61882: Oracle E-Business Suite zero-day, masovna eksploatacija i višefazni put do RCE-a prije autorizacije

Početna » piton » CVE-2025-61882: Oracle E-Business Suite zero-day, masovna eksploatacija i višefazni put do RCE-a prije autorizacije

Nakon sedmice pomiješanih izvještaja i spekulacija, slika okolo CVE-2025-61882 je konačno jasnije. Više izvora potvrđuje da se kritična greška u Oracle E-Business Suiteu aktivno iskorištava, a napadači postižu udaljeno izvršavanje koda prije autentifikacije protiv instanci izloženih internetu.

Ono što ovaj slučaj izdvaja jeste to što se aktivnost uočena na terenu oslanja na višekoračni lanac iskorištavanja umjesto jedne greške, spajanje manjih slabosti u potpuno preuzimanje. Oracle je isporučio hitnu ispravku i smjernice, dok timovi za obavještajne podatke o prijetnjama izvještavaju masovna eksploatacija i cirkulaciju radnog koda za provjeru koncepta.

Šta je pogođeno i koliko je to ozbiljno?

Oracleovo vikend upozorenje navodi da CVE-2025-61882 omogućava udaljenom napadaču da ugrozi implementaciju E-Business Suite-a bez autentifikacije putem HTTP-aUspješna eksploatacija vodi do udaljenog izvršavanja koda. Verzije 12.2.3 do 12.2.14 su u opsegu, što znači da je potencijalni radijus eksplozije značajan za organizacije koje koriste EBS u velikim razmjerima.

Oracle karakterizira utjecaj kao kritičan (široko citiran na CVSS 9.8) i poziva kupce da odmah primijene ponuđena ažuriranja. Izvještaji nacionalnih vlasti za kibernetičku sigurnost odražavaju tvrdnje prodavca: a posebno formulisan zahtjev na pogođenoj komponenti može rezultirati potpunim kompromitovanjem sistema bez potrebe za interakcijom korisnika.

Vezani članak:

Kritična Django ranjivost: Rizici udaljenog izvršavanja koda i strategije ublažavanja

Kako funkcioniše lanac napada (visoki nivo)

Nezavisno istraživanje opisuje lanac eksploatacije koji kombinuje više slabosti kako bi se prešlo sa početnog uporišta na izvršavanje koda. Na visokom nivou, napadači prvo zloupotrebljavaju krajnju tačku servera kako bi prisilili aplikaciju da zahtjevi na strani servera (SSRF) na mete po svom izboru unutar okruženja žrtve.

Odatle, protivnici proširuju kontrolu nad krivotvorenim zahtjevom koristeći Ubrizgavanje CRLF zaglavlja, manipulirajući načinom uokviravanja nizvodnog HTTP poziva. Pažljivim ponovnim korištenjem iste TCP sesije (HTTP keep-alive), povećavaju pouzdanost i smanjuju šum, povezujući dodatne korake preko jedne veze.

S ovim primitivima na mjestu, lanac cilja na interno vezana usluga tipično za Oracle EBS implementacije, dostupno putem krivotvorenih zahtjeva. Istraživači su primijetili zaobilaženje filtera korištenjem kreiranih putanja za pristup krajnjim tačkama koje bi inače zahtijevale autentifikaciju.

Posljednji pivot zloupotrebljava stranicu koja dinamički učitava XSL stilski list na osnovu konteksta zahtjeva. Uticanjem na to odakle se taj stilski list preuzima, napadač može prisiliti server na obradu nepouzdani XSLT, poznati put do izvršavanja koda u Javi kada su dostupna nesigurna proširenja. Zajedno, ove faze kulminiraju u RCE za prethodnu autorizaciju protiv pogođenih EBS sistema.

Aktivna eksploatacija i prijetnje

Više sigurnosnih timova izvještava tekući napadi koristeći CVE‑2025‑61882. Rukovodstvo Mandianta povezalo je talas upada sa operacijama krađe podataka velikih razmjera i povezanim aktivnostima iznude, napominjući da su akteri zajedno novi i prethodno ispravljeni problemi sa EBS-om u svim njihovim kampanjama.

Oracleovo upozorenje uključuje pokazatelji kompromisa uočene tokom odgovora na incident, kao što su IP adrese i artefakti viđeni u okruženjima žrtve. Odvojeni izvještaji ukazuju na procurele alate i dijeljene skripte, te spominju potencijalnu uključenost poznatih partneri za krađu podataka i ransomware, iako neke veze ostaju nepotvrđene.

Procjene ukazuju na otprilike četverocifreni broj EBS instance su dostupne na javnom internetu, mnoge od njih u SAD-u. S obzirom na objavu radnog koda za iskorištavanje i priroda prethodne autorizacije Zbog nedostatka, sigurnosne agencije i dobavljači upozoravaju da će se iskorištavanje vjerovatno proširiti na dodatne aktere.

Šta bi branioci trebali sada uraditi

Prioritet jedan je da primijenite sigurnosna ažuriranja za Oracle i slijedite službene smjernice i pregled ublažavanja strategije ublažavanjaS obzirom na izvještaje o široko rasprostranjenoj eksploataciji, organizacije bi trebale pretpostaviti moguću izloženost i provesti proaktivna procjena kompromisa čak i ako se krpljenje brzo završi.

Potraga za dokazima opisanog SSRF aktivnost, neobični odlazni HTTP zahtjevi koji potiču sa aplikacijskih servera, neočekivani pristup interno povezanim EBS uslugama i bilo kakvi znakovi Zlonamjerna XSLT obradaUnakrsno povezivanje mrežne telemetrije, zapisnika obrnutog proxyja, zapisnika pristupa EBS-u i upozorenja krajnjih tačaka sa IOC-ovi koje dijeli Oracle.

Gdje je to izvodljivo, smanjite izloženost tako što ćete minimiziranje EBS krajnjih tačaka okrenutih ka internetu, provođenje stroge segmentacije mreže radi izolacije internih servisa i jačanje reverznih proxyja kako bi se blokirali obrasci prolaska puta i sumnjive manipulacije zaglavljima. Jačanje vidljivosti oko mostovi za interne usluge s weba na web je posebno vrijedan protiv lančanih SSRF napada.

Za osobe koje reagiraju na incidente, budite spremni na krađu podataka i ponovna upotreba akreditiva scenariji. Validirajte integritet EBS aplikacijskih komponenti, pregledajte planirane zadatke i vanband administrativne interfejse te ograničite svako lateralno kretanje koje proizlazi iz EBS sloja.

Slika koja se razvija pokazuje kritični RCE pre-autorizacije protiv široko rasprostranjenih verzija Oracle E-Business Suite-a, sa stvarnim lancem iskorištavanja koji povezuje SSRF, krijumčarenje zahtjeva putem CRLF-a, zaobilaženje filtera za autorizaciju i zloupotrebu XSLT-a. Sa eksploatacija je već u tokuNajefikasniji put naprijed je brzo instaliranje zakrpa, ciljano traženje prijetnji i strože mrežne granice oko internih dijelova EBS-a.