Kritična ranjivost u Oracle EBS (CVE-2025-61882)

Sažetak
‍
Otkrivena je i aktivno iskorištavana ranjivost CVE-2025-61882 u Oracle E-Business Suite (EBS), s CVSS ocjenom 9.8. Riječ je o propustu koji omogućuje udaljeno izvršavanje koda bez autentikacije. Zlonamjerni akteri, uključujući skupinu Cl0p (poznatu i kao Graceful Spider), koriste ranjivost u kombiniranim napadima koji uključuju krađu podataka i ucjene korisnika EBS-a. Oracle je objavio hitne zakrpe i potvrdio incidente kod više klijenata. CISA je ranjivost uvrstila u KEV katalog, a istraživači bilježe aktivnu eksploataciju od početka kolovoza 2025. godine.

Detalji
‍
Ranjivost CVE-2025-61882 predstavlja kritičan sigurnosni propust u Oracle E-Business Suite koji omogućuje neautentificiranom napadaču udaljeno izvršavanje koda. Problem nastaje zbog pogrešne obrade korisničkih HTTP zahtjeva unutar komponente UiServlet, što omogućuje kombinaciju SSRF i CRLF injekcija koje napadač može iskoristiti za manipulaciju internim resursima i poslužiteljskim procesima. Nakon iskorištavanja ranjivosti, napadač stječe mogućnost učitavanja i izvršavanja zlonamjernih XSLT predložaka u kontekstu EBS aplikacijskog sloja, što rezultira potpunim preuzimanjem kontrole nad poslužiteljem bez potrebe za autentikacijom.
‍
Eksploatacija uključuje SSRF pristup internim endpointima te CRLF injekcije koje unose XSLT predloške izvršavane prilikom obrade u sustavu. Incidenti su potvrđeni početkom kolovoza 2025. godine, a pripisuju se skupini Cl0p.

Napadi uključuju ucjene korisnika EBS-a i zahtjeve do 50 milijuna USD. Objavljivanje PoC koda izazvalo je globalni val automatiziranih skeniranja, dok su kompromitirane verzije od 12.2.3 do 12.2.14. Oracle je 3. listopada objavio zakrpu, a CISA ju je 4. listopada uvrstila u KEV s rokom sanacije do 27. listopada 2025.

Preporuke
‍
Odmah primijeniti Oracle Critical Patch Update (CPU) iz listopada 2025. koji uključuje ispravak za CVE-2025-61882.
Provjeriti i zakrpu iz srpnja 2025. jer je preduvjet za instalaciju.
Ograničiti mrežni pristup komponentama UiServlet, OA.jsp i RF.jsp na interne segmente te pratiti promet na portu 443 radi detekcije anomalnih POST zahtjeva i XSLT učitavanja.
Izvršiti forenzičku analizu i threat hunting u EDR sustavu poput CrowdStrike Falcona te ograničiti privilegije servisnih računa i API pristupe.
Pripremiti plan odgovora na incident i definirati protokol komunikacije za hitne slučajeve.

Reference
‍
https://www.bleepingcomputer.com/news/security/oracle-patches-ebs-zero-day-exploited-in-clop-data-theft-attacks
https://nvd.nist.gov/vuln/detail/CVE-2025-61882
https://www.cisa.gov/known-exploited-vulnerabilities-catalog
https://www.reuters.com/business/oracle-says-hackers-are-trying-extort-its-customers-2025-10-03

‍