Több támadás, vitatott javítások
A hónap elején több vállalat is kapott e-mailt, amelyben azt állították, hogy az Oracle E-Business Suite rendszerükből érzékeny adatokat loptak el. A támadások mögött a Clop zsarolóvírus-csoport állt, amely jelentős szereplő a tömeges adatlopási akciókban. Noha a banda biztos volt benne, hogy egy korábban ismeretlen Oracle sérülékenységet használtak ki, csak később derült ki, pontosan melyik rést fedezték fel.
További zavart okozott, hogy a ShinyHunters (más néven Scattered Lapsus$ Hunters) egy kihasználó kódot (proof-of-concept) is közzétett Telegram-csatornáján az E-Business Suite-hoz. Az Oracle eleinte hivatalosan csak annyit közölt, hogy dolgozik a megoldáson, és sürgős frissítéseket ajánlott. Október elején rendkívüli javítást adtak ki a feltárt sebezhetőségek egy részére, de sokáig nem tisztázták, pontosan mely támadási láncokat zárt ki a hibajavítás.
Mi működött, mi nem?
Biztonsági kutatók és Oracle-ügyfelek egyaránt észrevették, hogy az október elején kiadott javítás (CVE-2025-61882) ugyan blokkolta a Clop-csoport támadási láncát a SyncServlet végpontnál, de nem akadályozta meg teljesen a ShinyHunters által publikált SSRF-alapú (kiszolgálói oldali kéréshamisítás) támadást (Server-Side Request Forgery). Bár az Oracle tanácsadói jegyzetében említette a ShinyHunters exploitját, a kritikus frissítés a PoC-hoz tartozó konkrét biztonsági rést ekkor még nem kezelte.
Ezt igazolta az is, hogy több teszt tanúsága szerint a gépekre telepített aktuális frissítések mellett is sikeresen kihasználható maradt a sérülékenység SSRF-komponense. Csak a legutóbbi, hétvégén kiadott frissítés (CVE-2025-61884) zárta le ezt a rést: a rendszer mostantól szabályos kifejezéssel ellenőrzi a támadó által megadott return_url-t, és minden gyanús karaktert elutasít. Ez jelentősen szűkíti a támadási lehetőségeket, CRLF-injekciót sem lehet már beadni.
Miért maradt el a nyilvános tájékoztatás?
Az Oracle az egész folyamat során kerülte az aktív kommunikációt a sérülékenységek nyilvános kihasználásáról, sőt, a felhasználók és a szakértők visszajelzéseire sem reagált érdemben. A céggel kapcsolatban álló fontos biztonsági laborok, mint például a Mandiant vagy a CrowdStrike, sem közöltek további részleteket, a felhasználókat visszautalták az Oracle közleményeire.
Ez azért is aggasztó, mert a feltört rendszerekben használt támadási lánc technikai részletei immár nyilvánosan elérhetőek. Ha a rendszergazdák nem telepítik gyorsan az összes elérhető frissítést, a támadók ismét célba vehetik ezeket a rendszereket.
Védekezési tippek, összegzés
Összefoglalva: minden Oracle E-Business Suite-ot futtató vállalatnak haladéktalanul telepítenie kell a legújabb biztonsági javításokat. Amennyiben ez átmenetileg akadályba ütközik, legalább egy új mod_security szabályt kell létrehozni, amely blokkolja a /configurator/UiServlet útvonalat — így érdemben megakadályozható az SSRF-komponens kihasználása, amíg a végleges frissítés elérhetővé nem válik.
A helyzet tanulsága: továbbra is érdemes óvatosnak maradni a nagyvállalati szoftverházak, például az Oracle kríziskommunikációját illetően, és minden elérhető biztonsági frissítést haladéktalanul alkalmazni.
