- CVE-2025-61882 memungkinkan eksekusi kode jarak jauh yang tidak diautentikasi terhadap Oracle E‑Business Suite.
- Rilis yang terpengaruh mencakup versi 12.2.3 hingga 12.2.14; Oracle mengeluarkan peringatan keamanan dan patch di luar band.
- Serangan dunia nyata menggabungkan SSRF, injeksi header CRLF, bypass filter autentikasi, dan penyalahgunaan XSLT untuk mencapai RCE.
- Eksploitasi terkait dengan Cl0p, dengan IOC yang dibagikan oleh Oracle; pembela harus menambal dan mencari kompromi.
Setelah seminggu laporan dan spekulasi yang beragam, gambaran sekitar CVE-2025-61882 akhirnya lebih jelas. Beberapa sumber mengonfirmasi bahwa kelemahan kritis di Oracle E‑Business Suite sedang dieksploitasi secara aktif di alam liar, dengan penyerang mencapai eksekusi kode jarak jauh pra-autentikasi terhadap kejadian yang terekspos internet.
Hal yang membuat kasus ini menonjol adalah bahwa aktivitas yang diamati di lapangan cenderung mengarah pada rantai eksploitasi multi-langkah alih-alih satu bug, menggabungkan kelemahan yang lebih kecil menjadi pengambilalihan penuh. Oracle telah mengirimkan perbaikan darurat dan panduan, sementara tim intelijen ancaman melaporkan eksploitasi massal dan peredaran kode bukti konsep yang berfungsi.
Apa yang terpengaruh dan seberapa parah?
Nasihat akhir pekan Oracle menyatakan bahwa CVE-2025-61882 memungkinkan penyerang jarak jauh untuk membahayakan penerapan E‑Business Suite tanpa otentikasi melalui HTTPEksploitasi yang berhasil mengarah pada eksekusi kode jarak jauh. Versi 12.2.3 melalui 12.2.14 berada dalam cakupan, yang berarti radius ledakan potensial cukup besar bagi organisasi yang menjalankan EBS dalam skala besar.
Oracle menggolongkan dampak tersebut sebagai dampak yang kritis (banyak dikutip di CVSS 9.8) dan mendesak pelanggan untuk segera menerapkan pembaruan yang diberikan. Laporan dari otoritas siber nasional senada dengan pernyataan vendor: permintaan yang dibuat khusus pada komponen yang terpengaruh dapat mengakibatkan gangguan pada sistem secara total tanpa memerlukan interaksi pengguna.
Cara kerja rantai serangan (tingkat tinggi)
Penelitian independen menggambarkan mengeksploitasi rantai yang menggabungkan beberapa kelemahan untuk berpindah dari pijakan awal ke eksekusi kode. Pada tingkat tinggi, penyerang pertama-tama menyalahgunakan titik akhir server untuk memaksa aplikasi melakukan permintaan sisi server (SSRF) ke target pilihan mereka di dalam lingkungan korban.
Dari sana, musuh memperluas kendali atas permintaan palsu tersebut dengan menggunakan Injeksi header CRLF, memanipulasi bagaimana panggilan HTTP hilir dibingkai. Dengan hati-hati menggunakan kembali sesi TCP yang sama (HTTP tetap aktif), mereka meningkatkan keandalan dan mengurangi kebisingan, merangkai langkah-langkah tambahan melalui koneksi tunggal.
Dengan primitif ini, rantai menargetkan layanan terikat internal tipikal penerapan Oracle EBS, yang dapat diakses melalui permintaan palsu. Para peneliti mengamati penyaringan lewat menggunakan jalur yang dibuat untuk mengakses titik akhir yang seharusnya memerlukan autentikasi.
Pivot terakhir menyalahgunakan halaman yang memuat secara dinamis Lembar gaya XSL berdasarkan konteks permintaan. Dengan memengaruhi dari mana stylesheet tersebut diambil, penyerang dapat memaksa server untuk memproses XSLT yang tidak tepercaya, jalur yang diketahui untuk eksekusi kode di Java ketika ekstensi yang tidak aman tersedia. Secara keseluruhan, tahapan-tahapan ini berpuncak pada RCE pra-otorisasi terhadap sistem EBS yang terkena dampak.
Eksploitasi aktif dan aktivitas ancaman
Beberapa tim keamanan melaporkan serangan yang sedang berlangsung memanfaatkan CVE‑2025‑61882. Kepemimpinan Mandiant telah menghubungkan gelombang intrusi dengan operasi pencurian data skala besar dan aktivitas pemerasan terkait, mencatat bahwa para aktor tersebut menggabungkan masalah EBS baru dan yang telah ditambal sebelumnya di seluruh kampanye mereka.
Peringatan Oracle mencakup indikator kompromi diamati selama respons insiden, seperti alamat IP dan artefak yang terlihat di lingkungan korban. Pelaporan terpisah menunjukkan adanya kebocoran perangkat dan skrip bersama, serta menyebutkan potensi keterlibatan pihak-pihak yang dikenal afiliasi pencurian data dan ransomware, meskipun beberapa hubungan masih belum terkonfirmasi.
Perkiraan menunjukkan sekitar angka empat digit sebagian besar instansi EBS dapat diakses melalui internet publik, banyak di antaranya di AS Mengingat publikasi kode eksploitasi yang berfungsi dan sifat pra-otorisasi Mengenai kelemahan tersebut, badan keamanan dan vendor sama-sama memperingatkan bahwa eksploitasi kemungkinan akan meluas ke aktor tambahan.
Apa yang harus dilakukan para pembela HAM sekarang?
Prioritas pertama adalah terapkan pembaruan keamanan Oracle dan ikuti panduan mitigasi dan tinjauan resmi strategi mitigasiMengingat adanya laporan eksploitasi yang meluas, organisasi harus mengasumsikan kemungkinan paparan dan melakukan penilaian kompromi proaktif bahkan jika penambalan diselesaikan dengan cepat.
Perburuan bukti yang dijelaskan Aktivitas SSRF, permintaan HTTP keluar yang tidak biasa yang berasal dari server aplikasi, akses tak terduga ke layanan EBS yang terikat secara internal, dan tanda-tanda apa pun pemrosesan XSLT berbahaya. Telemetri jaringan referensi silang, log proxy terbalik, log akses EBS, dan peringatan titik akhir dengan IOC yang dibagikan oleh Oracle.
Jika memungkinkan, kurangi paparan dengan meminimalkan titik akhir EBS yang menghadap internet, menerapkan segmentasi jaringan yang ketat untuk mengisolasi layanan internal, dan memperkuat proxy terbalik untuk memblokir pola traversal jalur dan manipulasi header yang mencurigakan. Memperkuat visibilitas di sekitar jembatan layanan web-ke-internal sangat berharga terhadap serangan SSRF berantai.
Bagi responden insiden, bersiaplah terhadap pencurian data dan penggunaan kembali kredensial skenario. Validasi integritas komponen aplikasi EBS, tinjau tugas terjadwal dan antarmuka administrasi di luar band, serta kendalikan setiap pergerakan lateral yang berasal dari tingkatan EBS.
Gambar yang berkembang menunjukkan RCE pra-otorisasi kritis terhadap versi Oracle E‑Business Suite yang banyak digunakan, dengan rantai eksploitasi dunia nyata yang menggabungkan SSRF, penyelundupan permintaan melalui CRLF, bypass filter autentikasi, dan penyalahgunaan XSLT. Dengan eksploitasi sudah berlangsung, jalur yang paling efektif ke depan adalah penerapan patch yang cepat, perburuan ancaman yang terarah, dan batasan jaringan yang lebih ketat di sekitar internal EBS.
