ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), federal kurumların en geç 18 Temmuz Cumartesi gününe kadar Oracle E-Business Suite (EBS) finans uygulamasındaki kritik bir güvenlik açığını kapatmasını emretti. Bu açık, halihazırda aktif saldırılarda kullanılıyor. CISA, söz konusu güvenlik zafiyetini Bilinen İstismar Edilen Güvenlik Açıkları (KEV) listesine ekleyerek federal kurumları Bağlayıcı Operasyonel Direktif (BOD) 26-04 kapsamında harekete geçmeye zorladı.
CVE-2026-46817 olarak izlenen bu güvenlik açığı, Oracle E-Business Suite'in Oracle Payments ürününün Dosya İletim (File Transmission) bileşeninde keşfedildi. Kritik seviyedeki bu zafiyet, kimliği doğrulanmamış tehdit aktörlerinin HTTP ağ erişimi ile düşük karmaşıklıktaki saldırılarda savunmasız sistemleri tamamen ele geçirmesine olanak tanıyor. Oracle, Mayıs 2026 Kritik Güvenlik Yaması Güncellemesi (CPU) ile bu sorunu gidermek için yamalar yayınlamış ve müşterilerine derhal uygulama çağrısı yapmıştı.
Oracle, daha önce yaptığı uyarıda, 'Bazı durumlarda, saldırganların hedeflenen müşterilerin mevcut Oracle yamalarını uygulamaması nedeniyle başarılı olduğu bildirilmiştir. Oracle bu nedenle müşterilerin aktif olarak desteklenen sürümlerde kalmalarını ve güvenlik yamalarını gecikmeden uygulamalarını şiddetle tavsiye eder' ifadelerini kullanmıştı. Her ne kadar Oracle henüz CVE-2026-46817'nin vahşi ortamda kullanıldığını doğrulamamış olsa da, tehdit istihbarat şirketi Defused 29 Haziran'da kötü niyetli aktörlerin bu açığı aktif olarak istismar etmeye başladığını duyurdu.
Defused, yaptığı açıklamada 'CVE-2026-46817 (CVSS 9.8, Oracle E-Business'te kimlik doğrulamasız HTTP ele geçirme) istismar ediliyor. Hafta sonu Oracle E-Business bal küplerimizde bir aktörün bu güvenlik açığını kullandığını gözlemledik. Bu güvenlik açığının daha önce bilinen bir istismarı yok ve herhangi bir kamuya açık Proof-of-Concept (PoC) kodu bulunmuyor' dedi. İnternet güvenlik gözlemcisi Shadowserver, şu anda internete açık 1.000'den fazla Oracle EBS örneği tespit etmiş durumda ve bunların yarısından fazlası ABD'de bulunuyor. Ancak bunların ne kadarının bal küpü olduğu veya halihazırda koruma altına alındığı bilinmiyor.
CISA, bu tür güvenlik açıklarının kötü niyetli siber aktörler için sık kullanılan saldırı vektörleri olduğunu ve federal kurumlar için önemli riskler oluşturduğunu belirtti. Ajans, Oracle E-Business Suite'in hatalı ayrıcalık yönetimi zafiyeti içerdiğini ve bu sayede kimliği doğrulanmamış bir saldırganın HTTP üzerinden ağ erişimi ile Oracle Payments'ı tehlikeye atabileceğini, hatta tamamen ele geçirebileceğini vurguladı. Bu açığın CVSS puanı 9.8 olarak değerlendiriliyor ve bu da onu kritik seviyeye taşıyor.
Bu son gelişme, CISA'nın Oracle ürünlerindeki güvenlik açıklarına karşı verdiği mücadelenin bir parçası. Geçtiğimiz Ekim ayında ajans, federal kurumlara Oracle E-Business Suite'teki CVE-2025-61884 kodlu, kimlik doğrulamasız sunucu tarafı istek sahteciliği (SSRF) güvenlik açığını kapatma emri vermişti. Daha yakın zamanda, Haziran ayında ise iki yıl önce yaması yayınlanan ancak halen aktif olarak istismar edilen yüksek önem dereceli Oracle WebLogic Server güvenlik açığı (CVE-2024-21182) için yama talimatı vermişti. Son birkaç yılda CISA, Oracle ürünlerinde vahşi ortamda istismar edilen 43 güvenlik sorununu işaretledi ve bunlardan 12'si fidye yazılımı çeteleri tarafından da kullanıldı.
Bu gelişmeler, Oracle E-Business Suite kullanan tüm kurumlar için kritik bir uyarı niteliği taşıyor. Güvenlik açığının aktif olarak kullanılıyor olması ve yüksek CVSS puanı, kurumların derhal harekete geçmesini gerektiriyor. Özellikle finans ve muhasebe gibi hassas verilerin işlendiği sistemlerde bu açığın kapatılmaması, ciddi veri ihlallerine ve sistem ele geçirilmesine yol açabilir. Kurumların Oracle'ın sağladığı güvenlik yamalarını en kısa sürede uygulaması, ağ güvenlik duvarlarını kontrol etmesi ve gerekirse ek izleme mekanizmaları devreye alması öneriliyor.
Gelecekte Ne Bekleniyor?
Özellikle Oracle E-Business Suite'in internete açık olan örneklerinin sayısının 1.000'in üzerinde olduğu düşünüldüğünde, potansiyel saldırı yüzeyi oldukça geniş. Shadowserver verileri, bu sistemlerin yarısından fazlasının ABD'de bulunduğunu gösteriyor, ancak küresel ölçekte de ciddi bir risk söz konusu. Kurumların yalnızca yama yapmakla kalmayıp, aynı zamanda sistemlerini güncel tutma ve güvenlik politikalarını sıkılaştırma konusunda da adımlar atması gerekiyor. Oracle'ın daha önceki uyarılarında belirttiği gibi, yamaları geciktirmek saldırganların işini kolaylaştırıyor ve ciddi sonuçlara yol açabiliyor.
Kaynak: bleepingcomputer.com