Oracle hem kritik bir yazılım açığının tedarikçisi hem de bunu istismar eden saldırganların kurbanı olarak ortaya çıktı. Fidye yazılımı grubu Cl0p, Oracle sistemlerine finans, lojistik ve tedarik zinciri operasyonlarında yaygın olarak kullanılan Oracle E-Business Suite platformunda sıfır gün üzerinden eriştiğini iddia etti. Liste, grubun sızıntı sitesinde kısa bir süre göründükten sonra kaldırıldı. Güvenlik araştırmacıları bu iddiayı, eşzamanlı işlem için kullanılan bir bileşen aracılığıyla uzaktan kod çalıştırılmasına izin veren bir kusurla ilişkilendirdi. Güvenlik açığı aylarca aktif kaldı, ardından Oracle Ekim ayında acil bir güncelleme yayınladı.
Bu dava, saldırganların iddiaya göre Oracle’ın kendi kurumsal yazılımını kullanarak şirketi hedef aldıkları öne çıkıyor. Büyük satıcılar genellikle zayıflıkların üretim sistemlerini etkilemesini önlemek için sıkı iç kontroller uygular. Doğrulanmamış erişimi mümkün kılan bir sıfır günün, saldırganların bu kusuru ne kadar hızlı tespit edip kötüye kullandığı konusunda endişeleri artırdı. Grup, Oracle yamayı yayınlamadan önce aynı sorunu diğer kuruluşlara karşı da kullanmıştı. Bu dizide, Oracle’ın müşterileriyle aynı dönemde maruz kalmış olabileceğini göstermektedir.
Savunmasız bileşen, E-Business Suite’in birkaç desteklenen sürümünde kullanılan raporlama araçlarıyla bağlantılıdır. Saldırgan, bu erişimi komutları çalıştırmak, sistem detaylarını toplamak veya ağ içinde yan hareket etmek için kullanabilir. Oracle müşterileri acil durum düzeltmesini uygulamaya ve kayıtlarda olağandışı davranışları incelemeye teşvik etti. Güvenlik firmaları, güvenlik açığı döneminde internetten erişilebilen sistemlerin potansiyel olarak tehlikede görülmesi gerektiğini söyledi. İdari arayüzlerin gözden geçirilmesini ve beklenmedik çıkış bağlantılarının olup olmadığını değerlendirmeyi önerdiler.
Cl0p’nin daha geniş kampanyası, eğitim, yayıncılık ve üretim gibi sektörlerden birden fazla kuruma ulaşmak için aynı sıfır gününe dayanıyordu. Grup genellikle üst düzey yöneticilerle iletişime geçip iş verilerinin veya yapılandırma dosyalarının alındığını duyurur. Bu mesajlar genellikle ele salınmış üçüncü parti e-posta hesapları üzerinden gelir ve bu da tespit edilmeyi geciktirebilir. Araştırmacıların raporları, onlarca kuruluşun bu sömürülmüş kusurla bağlantılı müdahale işaretlerini doğruladığını gösteriyor. Oracle’dan alınan veriler yayımlanmamış olsa da, bu iddia operasyonun boyutunu vurguladı.
Oracle, kendi sistemlerine erişildiği iddiası hakkında kamuoyuna açıklama yapmadı. Analistler, sızıntı sitesinde listenin kısa süreli görünmesi ve hızlıca kaldırılması, saldırganların doğrudan müzakere girişimi mi yoksa gönderinin stratejik nedenlerle geri çekilip çekilmediği konusunda sorular doğurduğunu söylüyor. Motivasyon ne olursa olsun, liste, yaygın olarak dağıtılan ürünlerde kritik güvenlik açığı bulunduğunda yazılım satıcılarının karşılaştığı daha geniş risklere dikkat çekti. Satıcılar genellikle cazip hedefler olarak hizmet eder çünkü dahili sistemlere erişim, aşağı akış saldırılarına uygulanabilecek içgörüleri ortaya çıkarabilir.
Sektör gözlemcileri, bu olayın kurumsal yazılım hatalarının birçok kuruluşta, tedarikçinin kendisi de dahil olmak üzere, tek bir başarısızlık noktası yaratabileceğini gösterdiğini söyledi. Saldırganlar bir yamanın yayınlanmasından sıfır gün önce istismar ettiğinde, ortaya çıkan risk penceresi önemli olabilir. Oracle gibi küresel yazılım tedarikçileri için bu, dahili sistemlerin müşterilerinden beklenen aynı aciliyet ve savunma katmanlarıyla korunması gerektiği anlamına gelir. Etkinlik ayrıca, satıcıların hem müşterilerini etkileyen hem de kendi altyapılarını ortaya çıkaran bir kusura yanıt verirken karşılaştıkları operasyonel zorlukları da gündeme getiriyor.
Güvenlik uzmanları, E Business Suite kullanan kuruluşlara erişim kontrolleri, ağ segmentasyonu ve tedarikçi ile ilgili izinlerin kapsamlı incelemelerini tavsiye eder. Ayrıca, saldırganların bu kusuru bağlı veritabanlarına veya uygulama sunucularına ulaşmak için kullanıp kullanmamış olabileceğinin değerlendirilmesini öneriyorlar. Bazı firmalar için, verilerin alınıp alınmadığını veya süreklilik araçlarının yüklüldüğünü doğrulamak için dış adli destek gerekebilir. Analistler, kampanyadan etkilenen kuruluşların soruşturmalar ilerledikçe müdahale belirtilerini tespit etmeye devam edeceğini bekliyor.
Oracle ihlali bildirilmesi, izole ransomware faaliyetleri yerine kurumsal uygulamaların büyük ölçekli sömürülmesine doğru bir kaymayı vurguluyor. Saldırganlar, birçok hedefe eşzamanlı erişim sağlayan güvenlik açıklarına giderek daha fazla odaklanıyor. Bu yaklaşım, tehdit gruplarına daha büyük bir getiri sağlar ve tedarikçilere hızlı yanıt vermeleri için baskı yapar. Sıfır gün piyasaları genişlemeye devam ederken, uzmanlar yazılım şirketlerinin kritik kusurlar ortaya çıktığında, boyutları veya olgunlukları ne olursa olsun mağdur olabileceklerini varsaymak zorunda olduğunu söylüyor.