Álcázott támadók és sebezhető rendszerek
A júliusi támadások során egy kiszivárgott exploitot is bevetettek, amely főként az Oracle Configurator egyik szerveroldali felületét érintette. A CISA ezért kötelezővé tette minden amerikai kormányügynökség számára, hogy 2025. november 10-ig javítsák a sérülékenységet. Az Oracle azt állítja, az új frissítés blokkolja a ShinyHunters és a Scattered Lapsus$ zsarolóbandák által használt támadások egyikét, de hivatalosan nem ismerték el, hogy a hibát már ténylegesen kihasználták.
Két különböző hackercsoport, kétféle támadási mód
Október elején a Mandiant biztonsági cég rámutatott, hogy a Clop zsarolóvírus-csoport is felfedezett nulladik napi hibákat a rendszerben, és adatokat lopott. Röviddel később, a ShinyHunters a Telegram-csatornáján szivárogtatta ki az egyik, az Oracle sebezhetőségéhez kapcsolódó kódot, amely az UiServlet SSRF láncot vette célba.
Homályos részletek, lassú reagálás
Az augusztusi támadás során egy másik sérülékenységet használtak ki, amelyet később CVE-2025-61882 néven javítottak – mod_security szabályokkal és a SYNCSERVLET osztály kiiktatásával. Bár az Oracle többféle támadási kísérletet is elismert, továbbra sem adnak konkrét választ arra, miért keverik a két különböző exploitot a különböző CVE-azonosítókkal. Egyelőre az sincs megerősítve, hogy a CVE-2025-61882-t ténylegesen kihasználták-e.
