De Amerikaanse cybersecuritydienst CISA heeft een ernstige kwetsbaarheid in Oracle E-Business Suite toegevoegd aan de lijst van actief misbruikte lekken. Overheidsorganisaties in de VS moeten voor 10 november patches installeren. Oracle zelf bevestigt het misbruik echter nog niet.
Oracle heeft CVE-2025-61884, een server-side request forgery-kwetsbaarheid (SSRF) in het Oracle Configurator runtime-component, op 11 oktober gepubliceerd. De fout kreeg een CVSS-score van 7.5 en vereist geen authenticatie om te misbruiken. Volgens het bedrijf kunnen aanvallers via deze kwetsbaarheid “ongeautoriseerde toegang tot kritieke data of volledige toegang tot alle Oracle Configurator-data” verkrijgen.
Opvallend genoeg bevestigt Oracle zelf niet dat deze kwetsbaarheid actief wordt misbruikt, ondanks het feit dat het bedrijf een exploit heeft gepatcht die bij aanvallen in juli werd gebruikt. Tegelijkertijd heeft CISAVS-instanties verplicht om uiterlijk 10 november 2025 de benodigde patches te installeren.
Twee aanvalscampagnes geïdentificeerd
Onderzoek van CrowdStrike en Mandiant heeft aan het licht gebracht dat er sprake is van twee afzonderlijke aanvalsgolven, meldt BleepingComputer. In juli richtten criminelen zich op een SSRF-kwetsbaarheid in het “/configurator/UiServlet”-endpoint, wat nu bevestigd is als CVE-2025-61884. Een maand later volgde een tweede campagne gericht op het “/OA_HTML/SyncServlet”-endpoint, dat Oracle heeft gepatcht als CVE-2025-61882.
Deze laatste kwetsbaarheid wordt toegeschreven aan de Clop-ransomwaregroep. Begin oktober stuurde Clop dreigmails naar verschillende bedrijven waarin ze beweerden data te hebben gestolen uit Oracle E-Business Suite-omgevingen via zero-day-kwetsbaarheden. Oracle reageerde hierop door te stellen dat de aanvallers gebruikmaakten van lekken die al in juli waren gepatcht.
De verwarring nam toe toen op 3 oktober de ShinyHunters-groep een exploit voor Oracle op Telegram deelde. Een dag later publiceerde Oracle CVE-2025-61882 en noemde de gelekte proof-of-concept als indicator of compromise. Analyse door watchTowr Labs wees echter uit dat de ShinyHunters-exploit eigenlijk het UiServlet-lek aanvalt, niet het SyncServlet-probleem zoals Oracle suggereert.
BleepingComputer ontdekte dat de patch voor CVE-2025-61884 werkt door een “return_url”-parameter te valideren met een regular expression. Bij een mislukte validatie wordt het verzoek geblokkeerd. Het blijft onduidelijk waarom Oracle de ShinyHunters-exploit incorrect heeft toegewezen en waarom het bedrijf de actieve exploitatie niet bevestigt, ondanks de duidelijke aanwijzingen.
Lees ook: Noodpatch voor kwetsbaarheid in Oracle E-Business Suite