Washington Post, Oracle’ın E-Business Suite’indeki (EBS) sıfır gün güvenlik açığından yararlanan büyük ölçekli bir siber saldırıdan etkilendiğini doğruladı. Olay, aynı kusuru kullanarak dünya çapında binlerce kuruluşu hedef alan Cl0p fidye yazılımı grubuna atfedilen yaygın bir kampanyanın parçası.
Kısa bir açıklamada şirket, “Oracle E-Business Suite platformunun ihlalinden etkilendiğini” söyledi. Yayın, ne tür verilerin etkilendiğine ilişkin ayrıntıları açıklamadı ancak siber güvenlik analistleri, saldırganların hassas mali ve idari bilgilere erişmiş olabileceğine inanıyor.
CVE-2025-61882 olarak izlenen olayın arkasındaki güvenlik açığı, yama uygulanmamış Oracle EBS sunucularında yetkisiz uzaktan kod yürütülmesine olanak tanıyor. Mandiant ve Google’ın Tehdit İstihbarat Grubu’ndaki tehdit araştırmacılarına göre Cl0p, Oracle’ın bir yama yayınlamasından aylar önce, Ağustos 2025’in başlarında bu kusurdan yararlanmaya başladı. İstismarın dağıtımı basit ve saldırganlara geçerli kimlik bilgilerine ihtiyaç duymadan savunmasız sistemler üzerinde tam kontrol sağlayabildiği belirtildi.
Oracle, o ayın başlarında aktif istismar belirtilerini gözlemledikten sonra 4 Ekim’de bir düzeltme yayınladı. Şirket, internetten erişilebilen ve 12.2.3 ile 12.2.14 arasındaki sürümleri çalıştıran herhangi bir EBS örneğinin zaten ele geçirilmiş olabileceği konusunda uyardı. Oracle, müşterilerini yamayı derhal uygulamaya ve yetkisiz etkinlikleri tespit etmek için adli incelemeler yapmaya çağırdı.
Büyük ölçekli veri hırsızlığı ve gaspıyla tanınan bir fidye yazılımı grubu olan Cl0p, sızıntı sitesinde finans kurumları, lojistik şirketleri ve teknoloji hizmet sağlayıcıları da dahil olmak üzere etkilenen birçok kuruluşu listeledi. Grup genellikle çalınan bilgilerin silinmesi veya yayınlanmasının geciktirilmesi karşılığında ödeme talep eder.
Washington Post, etkilenen taraflar arasında yer aldığını doğrularken, gazete normal şekilde çalışmaya devam ettiğini söyledi. Güvenlik ekipleri izinsiz girişin kapsamını değerlendiriyor ve daha fazla güvenliği önlemek için ek izleme ve erişim kontrolleri uyguluyor.
Küresel sömürü ve tedarik zinciri endişeleri
Güvenlik uzmanları, Oracle EBS’nin kurumsal finans, lojistik ve insan kaynaklarında yaygın kullanımı nedeniyle saldırıyı son yıllardaki en önemli kurumsal yazılım ihlallerinden biri olarak tanımladı. Platform, hassas iş verilerinin işlenmesi için temel bir sistem görevi görüyor ve bu da onu finansal motivasyona sahip tehdit aktörleri için değerli bir hedef haline getiriyor.
Cl0p kampanyası, saldırganların tek şirket ihlallerinden satıcı ekosistemlerini istismar etmeye geçişinin bir başka örneğini işaret ediyor. Yaygın olarak kullanılan bir kurumsal platformu tehlikeye atarak, tek bir istismar aynı anda birden fazla istemciye erişim sağlayabilir. Bu strateji, 2023’te devlet kurumlarını ve küresel şirketleri etkileyen MOVEit dosya aktarım saldırıları gibi önceki Cl0p operasyonlarını yansıtıyor.
Araştırmacılar, üçüncü taraf kurumsal yazılımlara güvenen kuruluşların yüksek oranda maruz kalmaya devam ettiği konusunda uyarıyor. İlk izinsiz giriş genellikle uygulama katmanındaki güvenlik açıkları yoluyla meydana gelir, standart uç nokta korumalarını atlar ve algılamayı zorlaştırır. Saldırganlar içeri girdikten sonra güvenilir sistemler arasında yanal olarak hareket edebilir, hassas verileri sızdırabilir ve gasp kampanyaları başlatabilir.
Etkilenen firmalar için uzmanlar yama, ağ segmentasyonu ve sürekli izlemenin bir kombinasyonunu önermektedir. Oracle EBS’nin eski veya özelleştirilmiş sürümlerini çalıştıran sistemlere inceleme için öncelik verilmeli ve platforma yapılan tüm harici bağlantılar kısıtlanmalıdır.
Oracle’ın yaması güvenlik açığını giderse de araştırmacılar, güvenliği ihlal edilmiş bazı sistemlerin, düzeltme yayınlanmadan önce zaten kurulmuş kalıcı arka kapılar içerebileceğine inanıyor. Sonuç olarak, güncellemeyi tek başına uygulamak tehdidi ortadan kaldırmayabilir. Güvenlik ekiplerine, saldırganların artık erişimi olmadığını doğrulamak için ayrıntılı bir adli analiz yapmaları tavsiye edilir.
Washington Post’un ihlale dahil olması, endüstriler ve sektörler arasında uzanan tedarik zinciri siber olaylarının artan etkisini vurguluyor. Saldırganlar yaygın olarak kullanılan iş platformlarından yararlandıkça, güçlü iç savunmaya sahip kuruluşlar bile dolaylı olarak etkilenebilir.
Oracle EBS saldırılarına ilişkin soruşturma devam ediyor ve hem Oracle hem de federal siber güvenlik kurumları, kampanyanın tüm kapsamını değerlendirmek için etkilenen şirketlerle birlikte çalışıyor. Şimdilik olay, kurumsal yazılımlardaki güvenlik açıklarının, önemli erişim ve kaynaklara sahip küresel fidye yazılımı grupları için hızla giriş noktaları haline gelebileceğini bir kez daha hatırlatıyor.