ABD merkezli teknoloji devi Oracle’ın kurumsal yazılım sistemlerine yönelik geniş çaplı bir siber saldırı, 2025’in en kritik dijital tehditlerinden biri olarak gündeme geldi. Alphabet’e bağlı Tehdit İstihbarat Grubu (GTIG), Oracle E-Business Suite (EBS) hedefli bu saldırının arkasında daha önce fidye yazılım saldırılarıyla bilinen CL0P grubunun yer aldığını bildirdi.
Birçok şirketin etkilenmiş olması ihtimali, Google’ın siber güvenlik birimi tarafından Reuters’a aktarılan bilgilere göre 100’ün üzerinde kuruluşu kapsıyor olabilir. Yetkililer, mağdur sayısının ilgi çekici derecede yüksek olduğunu ve vakaların aylar öncesinden başlayıp yayılmış olabileceğini belirtti. Saldırı, Oracle’ın müşteri yönetimi, finans, tedarik zinciri ve lojistik gibi kritik iş süreçlerini barındıran EBS paketini hedef aldı.
GTIG’nin açıklamasına göre saldırıda büyük miktarda müşteri verisi ele geçirildi. Uzmanlar, saldırının CVE-2025-61882 kodlu kritik güvenlik açığından faydalanılarak gerçekleştirildiğini vurguluyor. Bu zafiyetin uzun süre fark edilmediği ve saldırganlar tarafından “sıfır gün” olarak kullanıldığı ifade ediliyor. Oracle, 2 Ekim 2025 itibarıyla açığı doğruladı ve Temmuz’a ait yama paketinin uygulanması çağrısını tekrarladı. Ancak saldırıların yoğunlaşması üzerine 4 Ekim’de acil bir güvenlik güncellemesi yayımladı.
Karmaşık teknikler ve uzaktan kontrol elde etme amacıyla kullanılan yöntemler arasında SSRF (Sunucu Taraflı İstek Sahteciliği), CRLF enjeksiyonu, kimlik doğrulama atlatma ve XSL şablon enjeksiyonu gibi teknikler bulunuyor. Saldırganlar 29 Eylül 2025’te başlattıkları geniş çaplı bir şantaj kampanyasıyla binlerce kurumsal yöneticisine fidye taleplerine dair e-postalar gönderdi. Bu mesajlarda, hedef alınan şirketlerin Oracle EBS sistemlerinden çaldıkları veriyle ilgili ayrıntılar ve dosya listeleri paylaşıldı. kullanılan iletişim adreslerinin, CL0P’un veri sızıntısı platformuyla bağlantılı olduğu tespit edildi.
CL0P grubu bu iddialara doğrudan yanıt vermese de Oracle’ın “temel ürünlerde güvenlik açıkları bıraktığını” ima eden bir açıklaması geçmişte yapılmıştı. Google ise saldırının grubun geçmişteki üçüncü taraf hizmet sağlayıcılarına yönelik eylemlerine benzer bir örüntü gösterdiğini, etkilerin ise hâlâ tam olarak anlaşılamadığını belirtti. Bu olaylar, 2025 yılı içinde şimdiye kadar kaydedilen en geniş kapsamlı kurumsal veri ihlallerinden biri olarak kaydı muhtemel görünüyor.
News
