«Oracle E-Business Suite»də kritik boşluq – onlarla təşkilat zərər çəkib
«Oracle E-Business Suite»də aşkarlanan boşluqdan istifadə edən «Cl0p»la bağlı hakerlər onlarla şirkətə hücum edib. Təfərrüatlar «The Hacker News»da.
«Oracle E-Business Suite»də kritik boşluq – onlarla təşkilat zərər çəkib
«The Hacker News» məlumatına görə, «Oracle E-Business Suite»-də (EBS) aşkarlanmış təhlükəsizlik boşluğuna qarşı 9 avqust 2025-dən başlayan sıfır-gün hücumları nəticəsində onlarla təşkilat zərər çəkib. Hadisə barədə «Google Threat Intelligence Group» (GTIG) və «Mandiant» 17 oktyabrda hesabat yayıb.
GTIG-in baş analitiki Con Hultkvist bildirib ki, hücumların miqyası genişdir və zərərçəkənlərin sayı onlarla təşkilatla ölçülür. O həmçinin qeyd edib ki, bu tip genişmiqyaslı sıfır-gün hücumları artıq kiber cinayət aləmində adi hala çevrilib.
Son Xəbərlər
Xiaomi 15 Ultra Qlobal Versiyası
Xiaomi yeni flaqman modeli Xiaomi 15 Ultra-nı qlobal satışa çıxaracağını təsdiqlədi. HyperOS 2.0 ilə yeni dövr başlayır!
Samsung-un Üçqatlanan Telefonu
Samsung, Galaxy Unpacked tədbirində üçqatlanan telefon konseptini təqdim etdi. Yeniliklər haqqında daha çox məlumat əldə edin.
Realme GT 7: Ən Ucuz Smartfon
Snapdragon 8 Elite çipi ilə Realme GT 7 fevral ayında təqdim ediləcək. Yeni xüsusiyyətlər və uyğun qiymət gözləyir.
İlkin araşdırma nəticəsində izlərin «Cl0p» fidyə proqramı qrupunu xatırlatdığı aşkarlanıb. Hücumçular CVE-2025-61882 (CVSS 9.8) kodlu boşluq da daxil olmaqla bir neçə zəiflikdən istifadə edərək sistemlərə daxil olublar və məxfi məlumat ələ keçiriblər. «Oracle» hadisədən sonra problemi aradan qaldırmaq üçün düzəliş yayıb.
2020-dən aktiv olan «Cl0p» (yaxud «Graceful Spider») əvvəllər də «Accellion», «GoAnywhere MFT» və «Progress MOVEit MFT» sistemlərindəki oxşar zəifliklərdən yararlanıb. Lakin bu dəfəki fayl-şifrələyici əvvəlki variantlardan fərqlənir və yeni aktyora məxsusdur.
Son hücum dalğası 29 sentyabr 2025-də başlayıb. Hakerlər oğurlanmış yüzlərlə korporativ e-poçt hesabından şirkət rəhbərlərinə məktublar göndərərək «Oracle EBS» tətbiqinə sızdıqlarını bildirmiş və fidyə tələb etmişlər. Bu hesabların məlumatlarının gizli forumlarda «infostealer» vasitəsilə əldə edildiyi ehtimal olunur.
Hücumlar SSRF, CRLF injection, autentifikasiya yan keçməsi və XSL şablon inyeksiyası üsulları ilə aparılıb. Məqsəd uzaqdan kod icrası və «Oracle EBS» serverində əks qoşulma yaratmaq olub. «Google»un məlumatına görə, boşluq «/OA_HTML/SyncServlet» komponentində istismar edilib.
Analitiklər «GOLDVEIN.JAVA» və «SAGEGIFT» adlı iki əsas zərərli faylın zəncirdə rol oynadığını bildiriblər. Bu fayllar yaddaşda işləyən «SAGELEAF» vasitəsilə «SAGEWAVE» filtrini quraşdıraraq kodun icrasını təmin edib.
«Google»un hesabatında əmrlərin «applmgr» hesabından icra olunduğu və «GOLDVEIN.JAVA» prosesi ilə bash komandalarının işə salındığı qeyd olunur. İyulda toplanmış sübutlar «Scattered LAPSUS$ Hunters» qrupunda yayılan exploit kodu ilə uyğun gəlsə də, əlaqə rəsmi təsdiqlənməyib.
GTIG-in qənaətinə görə, hücumun texniki mürəkkəbliyi və planlaşdırılması onun ciddi kampaniya olduğunu göstərir. «Google» əməliyyatı konkret qrupa aid etməsə də, «Cl0p»la bağlılıq ehtimalını istisna etmir. Həmçinin istifadə olunan alətlərin «FIN11» fəaliyyətləri ilə bənzərlik göstərdiyi vurğulanıb.
Hesabatda əlavə olunur ki, geniş istifadə olunan korporativ tətbiqlərdə sıfır-gün boşluğundan istifadə edib daha sonra kütləvi şantaj kampaniyası başlatmaq – bu, «FIN11»in klassik taktikasıdır və ona strateji üstünlük verir.
Mütəxəssislər xəbərdarlıq ediblər ki, həssas məlumat saxlayan və ictimai resurslara çıxışı olan proqramların hədəfə alınması məlumat sızmasını sürətləndirir. Hücumçular artıq daxili sistemlərdə vaxt itirmirlər.
Bu xəbəri necə dəyərləndirirsiniz?
