عالجت Oracle بهدوء ثغرة أمنية حرجة في منظومة Oracle E-Business Suite، والمسجلة تحت اسم CVE-2025-61884. جاء هذا التصحيح في أعقاب استغلال فعلي للثغرة لاختراق الخوادم، خصوصاً بعد تسريب مجموعة الابتزاز ShinyHunters شيفرة إثبات المفهوم (PoC) الخاصة بها. وفي خطوة غير مجدولة، صدر تحديث أمني خارج الجدول الأسبوعي خلال عطلة نهاية الأسبوع من الشركة للتحذير من أن الثغرة قد تستخدم للوصول إلى موارد حساسة.
أشار تنبيه الأمان الصادر عن Oracle بوضوح إلى أن الهدف هو معالجة الثغرة CVE-2025-61884 في Oracle E-Business Suite. وأكدت الشركة أن هذه الثغرة قابلة للاستغلال عن بعد دون مصادقة، ما يشير إلى إمكانية استغلالها عبر الشبكة دون الحاجة إلى اسم مستخدم أو كلمة مرور، الأمر الذي قد يمنح المهاجمين وصولاً إلى موارد حساسة في حال نجاح الاستغلال.
ومع ذلك، لم تكشف Oracle صراحةً عن وجود شيفرة استغلال منشورة أو استغلال عملي مؤكد. لكن باحثين وعملاء أكدوا أن التحديث الأمني المخصص لـ CVE-2025-61884 يعالج الآن ثغرة SSRF (Server-Side Request Forgery) من جانب الخادم، والتي كانت تتم قبل المصادقة وقد استخدمت في الشيفرة المسربة.
حيرة الثغرات الصامتة لدى Oracle
في مطلع هذا الشهر، بدأت شركتا Mandiant وGoogle في تعقب حملة ابتزاز جديدة. تلقت الشركات المستهدفة رسائل تفيد بسرقة بيانات حساسة من أنظمة Oracle E-Business Suite الخاصة بها. كانت مجموعة Clop للابتزاز، المشهورة بتاريخها الطويل في استغلال ثغرات “اليوم صفر” لسرقة البيانات على نطاق واسع، هي من أرسلت هذه الرسائل.
أكدت مجموعة Clop وقوفها وراء رسائل الابتزاز، مدعية أنها استغلت ثغرة جديدة في Oracle ضمن هجمات سرقة البيانات. وردت Oracle على هذه الادعاءات بالقول إن Clop استغلت ثغرة في EBS تم إصلاحها سابقاً في يوليو 2025، ونصحت العملاء بضرورة تثبيت أحدث تحديثات Critical Patch Updates.
لاحقاً، قامت مجموعة تهديد أخرى تعرف باسم Scattered Lapsus$ Hunters أو ShinyHunters بنشر استغلال فعال لإصدارات Oracle E-Business Suite عبر قناتها على تيليغرام، واستخدم هذا الاستغلال لابتزاز عملاء Salesforce. بعدها بفترة، وتحديداً في الرابع من أكتوبر، صرحت Oracle باكتشاف ثغرة يوم صفر جديدة ومسجلة تحت اسم CVE-2025-61882 وأصدرت تصحيحاً طارئاً لها.
أحد مؤشرات الاختراق (IOC) الواردة في نشر Oracle يشير إلى الاستغلال الذي سربته ShinyHunters، مما يوحي بوجود صلة. غير أن صمت Oracle وبقية بائعي الأمن حول هذا الارتباط أدى إلى حالة من الارتباك.
تحليل الشيفرة المسربة وسلسلة الاستغلال
أجرى باحثو watchTowr Labs تحليلاً للشيفرة المسربة، مؤكدين أنها تسمح بتنفيذ شيفرة عن بعد دون الحاجة إلى مصادقة على الخوادم. وكجزء من سلسلة الهجوم، تستهدف الشيفرة أولاً نقطة النهاية /configurator/UiServlet في Oracle E-Business Suite.
أصدرت شركات أخرى مثل CrowdStrike وMandiant تقارير أشارت إلى وجود ثغرة مختلفة، حيث تتحمل مسؤولية التعرض للاستغلال على يد مجموعة Clop في أغسطس 2025. تستهدف هذه السلسلة تحديداً نقطة النهاية /OA_HTML/SyncServlet. كما أفادت Mandiant بأنها رصدت نشاط استغلال مشابه لشيفرة ShinyHunters، التي تستهدف UiServlet، وذلك في يوليو 2025.
تفيد Mandiant بأن التحديث الأخير الصادر في الرابع من أكتوبر يوفر الحماية للعملاء من جميع سلاسل الاستغلال المعروفة. وأضافت أنه بينما لا يزال من غير الواضح أي سلاسل الاستغلال ترتبط تحديداً بالثغرة CVE-2025-61882، فإن تقييمات الخبراء تشير إلى أن خوادم Oracle E-Business Suite المحدّثة بتصحيح الرابع من أكتوبر لم تعد على الأرجح معرضة لسلاسل الاستغلال المعروفة.
ما فعلته بقية الأطراف والفرق البحثية
حلل الباحثون التصحيحات التي أصدرتها Oracle للثغرة CVE-2025-61882، ووجدوا أن التحديث عطل استغلال Clop عبر استبعاد فئة SYNCSERVLET وإضافة قواعد mod security تمنع الوصول إلى /OA_HTML/SyncServlet، إلى جانب قوالب متعددة كانت تستخدم لتنفيذ قوالب خبيثة.
لكن الملاحظ هو أن تحديثات CVE-2025-61882 لم تتضمن تغييرات لإصلاح الثغرة التي استغلها الـ PoC المسرب من ShinyHunters، على الرغم من ورودها كمؤشر اختراق في نشر Oracle، مما يجعل سبب ذكرها في الإشعار غير واضح. وبعد تطبيق تصحيح CVE-2025-61882، أفاد باحثون وعملاء أن مكون SSRF من الشيفرة المسربة ظل فعالاً في اختباراتهم على الرغم من وجود التصحيحات الحالية.
بعد تثبيت تحديث عطلة نهاية الأسبوع الخاص بـ CVE-2025-61884، أفاد ذات الباحثين والعملاء معالجة مكون SSRF.
