CVE-2025-61882

چکیده

یک آسیب‌پذیری با شدت بحرانی در محصول Oracle Concurrent Processing از مجموعه Oracle E-Business Suite در کامپوننت BI Publisher Integration شناسایی شده است که نسخه‌های 12.2.3 تا 12.2.14 را تحت تأثیر قرار می دهد. این ضعف امنیتی برای مهاجم امکان اجرای کد از راه دور بدون احراز هویت (unauthenticated RCE) از طریق HTTP را فراهم کرده و در صورت بهره برداری موفق می تواند منجر به تسلط کامل بر سرویس Oracle Concurrent Processing شود.

توضیحات

آسیب‌پذیری CVE-2025-61882 مجموعه از ضعف های منطقی و پردازشی را در کامپوننت BI Publisher Integration از محصول(Oracle EBS) Oracle Concurrent Processing نشان می دهد که شامل پیمایش مسیر مطابق با CWE-22 ، تفسیر ناهماهنگ درخواست های HTTP مطابق با CWE-444، جعل درخواست سمت سرور مطابق با CWE-918 و ضعف XXE مطابق با CWE-611 است. ترکیب این ضعف ها به مهاجم بدون نیاز به احراز هویت اجازه می‌دهد از طریق HTTP (پروتکلی برای انتقال صفحات وب و داده‌های مرتبط) ورودی‌های ساخته‌شده (crafted) ارسال کند و به اجرای کد دلخواه (RCE) روی سرور یا تسلط بر فرآیندهای مرتبط با Oracle Concurrent Processing دست یابد.

این آسیب‌پذیری بدون نیاز به سطح دسترسی با پیچیدگی پایین و بدون تعامل کاربر قابل بهره‌برداری است. پیامدهای آن تأثیر بالا بر محرمانگی با امکان دسترسی به داده‌های حساس مانند اسناد مالی، یکپارچگی با تغییر داده‌ها و در دسترس‌پذیری با احتمال اختلال در سرویس است.

مهاجمان از تکنیک‌هایی مانند HTTP request smuggling (تکنیکی که درخواست‌های HTTP را طوری دستکاری می‌کند که پراکسی‌ها/سرورها آنها را به‌صورت ناهماهنگ پردازش کنند) برای تزریق پیلود مخرب استفاده کرده‌اند؛ این روش در کمپین‌های نفوذی از جمله سوءاستفاده‌های گروه Clop در آگوست 2025 به‌کار رفته است. به‌علاوه، شاخص‌های نفوذ (IOCs) شامل آدرس‌های IP مخرب و نام یا هش فایل‌های اکسپلویت افشا شده است و CISA این CVE را در فهرست Known Exploited Vulnerabilities (KEV) قرار داده است.

کدِ اثباتِ مفهومی (PoC) عمومی در GitHub و آرشیوهای افشا شده موجود است که شامل اسکریپت‌های Python برای اسکن انبوه (bulk scanning)، بازیابی توکن CSRF، روش‌های HTTP smuggling و بارگذاری XSL مخرب برای اجرای فرمان (id) و برگرداندن خروجی از طریق curl به سرور مهاجم است؛ همچنین نمونه‌های exp.py و server.py برای باز کردن reverse shell افشا شده‌اند.

نکته اجرایی مهم این است که Oracle پچ اضطراری منتشر کرده اما نصبِ آن مستلزم داشتن پیش‌نیاز «October 2023 Critical Patch Update» است، بنابراین قبل از اعمال پچ‌های امنیتی جدید حتماً دستورالعمل کامل Oracle را دنبال کنید.

CVSS

 لیست محصولات آسیب پذیر

لیست محصولات بروز شده

 استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که Oracle E-Business Suite را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

 نتیجه گیری

این آسیب‌پذیری روز صفر با شدت بحرانی در Oracle E-Business Suite، با بهره‌برداری آسان و بدون احراز هویت می تواند منجر به اجرای کد دلخواه (RCE) روی سرور یا تسلط بر فرآیندهای مرتبط با Oracle Concurrent Processing شود. برای کاهش ریسک و جلوگیری از بهره برداری اقدامات کاهش ریسک زیر توصیه می شود:

• به‌روزرسانی فوری: پچ‌های مرتبط با Oracle E-Business Suite را از لینک رسمی Oracle Security Alert دانلود و طبق دستورالعمل نصب کنید. این اقدام حیاتی و ضروری است.
• تقسیم بندی شبکه و محدودسازی دسترسی: دسترسی HTTP/HTTPS به سرویس‌های EBS را تنها به آدرس‌ها و شبکه‌های داخلی و مدیریت‌شده محدود کنید؛ از فایروال برای محدودسازی منابع مدیریتی به IPهای مورد اعتماد استفاده نمایید.
• استفاده از WAF/IPS : قواعدی برای شناسایی و مسدودسازی پیلودهای HTTP مشکوک ایجاد کنید که شامل ضعف های HTTP Request Smuggling (تزریق ناهماهنگ درخواست HTTP)، درخواست‌های XML حاوی XXE یا URLهای Path Traversal (پیمایش مسیر ناامن) است. از IOCها و دستورالعمل‌های ارائه شده توسط Oracle بهره ببرید.
• بررسی شاخص های نفوذ: آدرس‌های IP، نام فایل‌ها و هش‌های اعلام‌شده در advisory و CISA KEV را جست‌وجو و بررسی کنید؛ لاگ‌ها و ترافیک خروجی غیرمعمول مانند ارتباطات معکوس یا اجرای شل (reverse shell) از سرور را بررسی کنید.
• قطع یا ایزوله‌سازی سرویس‌های آسیب‌پذیر: در صورت عدم امکان نصب سریع پچ، سرویس را از شبکه عمومی جدا کرده یا دسترسی آن را محدود کنید تا ریسک بهره‌برداری کاهش یابد..
• بررسی و به‌روزرسانی پیش‌نیازها: اطمینان حاصل کنید که October 2023 Critical Patch Update (CPU) و سایر پیش‌نیازهای اعلام‌شده پیش از نصب پچ اعمال شده باشند.
• نظارت مستمر و اسکن: از ابزارهای اسکن و تست (فقط با مجوز) برای شناسایی موارد آسیب‌پذیر استفاده کنید و سیستم‌ها را پس از پچ مجدداً بررسی کنید.

رعایت این اقدامات، ریسک اجرای کد از راه دور (RCE) و حملات Ransomware را به حداقل رسانده و تا زمان اعمال کامل پچ ها، سطح امنیت Oracle E-Business Suite را به‌طور قابل توجهی بهبود می‌بخشد.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)

در این آسیب‌پذیری، مهاجم بدون هیچ‌گونه احراز هویت می‌تواند از طریق ارسال درخواست‌های HTTP مخرب به کامپوننت BI Publisher Integration در Oracle E-Business Suite به اجرای کد از راه دور (RCE) دست یابد. این بردار حمله، نقطه ورود اولیه (Initial Access) محسوب می‌شود و به مهاجم اجازه می‌دهد مستقیماً به سیستم نفوذ کرده و کنترل اولیه سرور را به دست گیرد.

Execution (TA0002)

بهره‌برداری از CVE-2025-61882 می‌تواند منجر به اجرای دستور یا کد دلخواه در زمینه فرآیندهای BI Publisher شود؛ مهاجم با تزریق payload های ساخته‌شده مثلاً XSL یا درخواست‌های مشکوک قادر است عملکردهای داخلی سرویس را وادار به اجرای فرمان‌های سیستم یا بارگذاری ماژول‌های مخرب نماید، در نتیجه کنترل اجرای روی سرور را به‌دست می‌گیرد.

Persistence (TA0003)

پس از اجرای کد موفق، مهاجم می‌تواند مکانیزم‌های پایداری در محیط Oracle EBS ایجاد کند—مانند افزودن jobهای زمان‌بندی‌شده، درج وب‌شل یا تغییر دائمی پیکربندی concurrent program—که باعث می‌شود دسترسی حتی پس از راه‌اندازی مجدد سیستم نیز حفظ شود.

Privilege Escalation (TA0004)

اجرای کد در کانتکست سرویس اپلیکیشن ممکن است به دسترسی به credentialها یا سرویس‌هایی منجر شود که مهاجم را از سطح برنامه‌ای به دسترسی‌های بالاتر (مثلاً دسترسی به دیتابیس یا حساب‌های سرویس با امتیازات بیشتر) ارتقاء می‌دهد و در نتیجه کنترل گسترده‌تری روی زیرساخت فراهم می‌شود.

Defense Evasion (TA0005)

مهاجم می‌تواند از تکنیک‌هایی مانند HTTP request smuggling یا بسته‌بندی payloadها به‌گونه‌ای استفاده کند که قواعد WAF/IDS را دور زده یا لاگ‌ها و پروکسی‌ها را ناهماهنگ نماید، و بدین ترتیب شناسایی و پاسخ‌دهی به حمله را به تأخیر بیاندازد.

Credential Access (TA0006)

دسترسی به فرآیندها و فایل‌های پیکربندی مرتبط با BI Publisher می‌تواند به افشای رمزهای ارتباط با پایگاه‌داده، توکن‌ها یا سایر credentialهای حساس منجر شود و مهاجم را قادر سازد تا از آن‌ها برای گسترش دامنه نفوذ استفاده کند.

Lateral Movement (TA0008)

کنترل یا در اختیار گرفتن Oracle EBS می‌تواند به مهاجم امکان دهد با استفاده از credentialهای به‌دست‌آمده یا قابلیت‌های شبکه‌ای سرور، به دیگر سرویس‌ها و سرورها در داخل شبکه حرکت جانبی کند و دامنه نفوذ را گسترش دهد.

Impact (TA0040)

پیامدهای نهایی شامل اجرای کد از راه دور، نشت داده‌های حساس، تغییر یا تخریب داده‌ها، و اختلال یا از کارافتادن سرویس‌های حیاتی سازمانی است؛ در سناریوهای وخیم، بهره‌برداری می‌تواند به تسلط کامل مهاجم بر فرآیندهای Oracle Concurrent Processing بینجامد.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-61882
2. https://www.cvedetails.com/cve/CVE-2025-61882/
3. https://www.oracle.com/security-alerts/alert-cve-2025-61882.html
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-61882
5. https://vuldb.com/?id.327188
6. https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2025-61882
7. https://github.com/watchtowrlabs/watchTowr-vs-Oracle-E-Business-Suite-CVE-2025-61882
8. https://github.com/Sachinart/CVE-2025-61882
9. https://github.com/rxerium/CVE-2025-61882
10. https://www.bleepingcomputer.com/news/security/oracle-patches-ebs-zero-day-exploited-in-clop-data-theft-attacks/
11. https://nvd.nist.gov/vuln/detail/CVE-2025-61882
12. https://cwe.mitre.org/data/definitions/22.html
13. https://cwe.mitre.org/data/definitions/444.html
14. https://cwe.mitre.org/data/definitions/918.html
15. https://cwe.mitre.org/data/definitions/611.html