قام باحثو الأمن السيبراني من شركتي Resecurity وwatchTowr بتحليل نصوص الاستغلال التي تم تسريبها وتستخدم لاستهداف أنظمة Oracle E-Business Suite (EBS) عبر الثغرة الحرجة CVE-2025-61882. لم يتم تأكيد هوية منفذي الهجمات بعد، سواء كانوا مجموعة Cl0p أو LAPSUS$ أو غيرهم، نظراً لانتشار هذه النصوص عبر منصة تليغرام.
أوضح باحثون من watchTowr أن CVE-2025-61882 ليست مجرد ثغرة واحدة بسيطة، بل هي سلسلة متداخلة من نقاط ضعف صغيرة ومتوسطة تم ربطها ببراعة لتحويلها إلى استغلال فعال. وأكد الباحثون أن من قام باكتشاف وربط هذه السلسلة بهذا الشكل يمتلك فهماً معمقاً للبنية الداخلية والتكوين الخاص بنظام Oracle EBS.
يتطلب الهجوم ملفين مكتوبين بلغة بايثون يعملان بشكل متزامن. يقوم الملف الأول، المسمى Server.py، بإنشاء خادم HTTP لاستضافة الحمولات الخبيثة. بينما يعمل الملف الثاني، exp.py، كـعميل استغلال يدفع خادم Oracle EBS لجلب حمولة المهاجم. يستخدم المهاجم exp.py لإرسال طلب HTTP مُعد بعناية إلى مثيل Oracle EBS، متضمناً معامل return_url الذي يشير إلى خادم الحمولة الخبيثة الخاص به. لتجاوز مرشحات الأمان الأساسية التي قد تشفر عنوان URL، يتم تشفير العنوان باستخدام كيانات أحرف HTML الرقمية. عند معالجة الطلب، يجبر هذا التلاعب تطبيق EBS على جلب ومعالجة المحتوى من خادم المهاجم، ما يؤدي إلى تنفيذ هجوم SSRF من جانب الخادم.
بعد أن يتبع تطبيق EBS الـ return_url، يقوم بتحميل ملف XSL خبيث يحتوي على حمولة جافا سكريبت مضمنة، تفك شيفرة هذه الحمولة وتنفذها واجهة javax.script ضمن بيئة جافا الخاصة بالنظام. عند التنفيذ، تنشئ خوادم EBS اتصال Shell عكسي إلى مستمع المهاجم. عادةً ما يعمل هذا الاتصال في سياق مستخدم Oracle، ما يمنح المهاجم وصولاً تفاعلياً كاملاً إلى بيئة التشغيل للنظام المخترق.
يجب على الفرق الأمنية التي تحقق في حالات الاختراق أن تضع في الاعتبار أنه ليس من الواضح ما إذا كان المهاجمون قد استخدموا الثغرة CVE-2025-61882 بمفردها أو قاموا بربطها بثغرات أخرى. وكانت Oracle قد أعلنت في البداية عن استغلال ثغرات تمت معالجتها في تحديثات شهر يوليو 2025، قبل أن تزيل المنشور لاحقاً. ومع ذلك، يظل احتمال استمرار استغلال النصوص المسربة لاستهداف مثيلات Oracle EBS المكشوفة على الإنترنت مرتفعاً، لكون هذه النصوص متاحة علناً عبر قنوات مثل تليغرام.
أشارت تحقيقات Mandiant إلى أن عمليات الاستغلال وما ترتب عليها من سرقة للبيانات قد بدأت في شهر أغسطس 2025، وأن عدداً من الجهات المتأثرة اكتشفت الاختراق بعد تلقيها رسائل ابتزاز من مجموعة Cl0p. توصي Oracle جميع الجهات التي تملك مثيلات Oracle EBS مواجهة للإنترنت بأن تفحص مؤشرات الاختراق (IOCs) الموضحة في نشرة الأمان الخاصة بـ CVE-2025-61882، وتطبق جميع التصحيحات والإجراءات الموصى بها فوراً.
للمساعدة في عملية التحقق، أصدر باحثو watchTowr أداة فحص تُستخدم للتأكد مما إذا كانت مثيلة Oracle E-Business Suite معرضة للاستغلال عبر هذه الثغرة. كما أدرجت وكالة CISA الثغرة CVE-2025-61882 في كتالوج الثغرات المعروفة المستغلة، ما يؤكد على ضرورة تعامل الجهات المعرضة للخطر مع هذا الحادث بصفة عاجلة ومنهجية.
