Den amerikanske cybersikkerhedsmyndighed CISA har føjet en ny Oracle-sårbarhed til sin liste over kendte, aktivt udnyttede it-sårbarheder.
Derfor har myndigheden nu pålagt andre myndigheder i USA at installere sikkerhedsopdateringer inden 10. november.
Oracle har dog ikke selv bekræftet, at sårbarheden aktuelt bliver udnyttet.
Det skriver Bleeping Computer.
Vil ikke bekræfte, at sårbarheden udnyttes
Oracle offentliggjorde sårbarheden CVE-2025-61884 den 11. oktober.
Der er tale om en såkaldt server-side request forgery (SSRF) i Oracle Configurator-komponenten, som har fået en CVSS-score på 7,5.
Sårbarheden kræver ingen autentificering og kan ifølge Oracle give angribere “uautoriseret adgang til kritiske data eller fuld adgang til alle data i Oracle Configurator”.
I modsætning til CISA har Oracle ikke bekræftet, at sårbarheden bliver udnyttet i praksis, selv om selskabet tidligere har lukket et sikkerhedshul, som blev brugt i angreb allerede i juli.
To separate angrebskampagner
Ifølge cybersikkerhedsvirksomhederne CrowdStrike og Mandiant har der fundet to forskellige angrebskampagner sted, skriver BleepingComputer.
Den første fandt sted i juli, hvor cyberkriminelle udnyttede en SSRF-sårbarhed i endpointet “/configurator/UiServlet”. Det er netop denne fejl, der nu er registreret som CVE-2025-61884.
I august fulgte en ny kampagne med målrettede angreb mod “/OA_HTML/SyncServlet”.
Oracle patchede dette sikkerhedshul som CVE-2025-61882. Denne sårbarhed sættes i øvrigt i forbindelse med Clop-ransomwaregruppen.
I begyndelsen af oktober sendte Clop e-mails til en række virksomheder med påstande om, at gruppen havde stjålet data fra Oracle E-Business Suite via ukendte nul-dags-sårbarheder.
Oracle reagerede ved at fastslå, at der var tale om kendte fejl, som allerede var blevet lappet i juli.
Den 3. oktober delte gruppen ShinyHunters en exploit til Oracle på Telegram.
Dagen efter offentliggjorde Oracle CVE-2025-61882 og identificerede den lækkede proof-of-concept som et tegn på kompromittering.
Men ifølge watchTowr Labs var der tale om en fejl.
Ifølge dem rettede denne exploit sig mod UiServlet-endpointet og altså ikke mod SyncServlet, som Oracle ellers havde antydet.
Det er endnu uklart, hvorfor Oracle ikke anerkender, at sårbarheden bliver udnyttet aktivt, selv om både cybersikkerhedseksperter og myndigheder peger på det modsatte.
