Clop Hacker Grubunun Oracle Açığını Kullanarak Yöneticilerin Kişisel Verilerini Çaldığı Ortaya Çıktı

Oracle, önde gelen iş yazılımlarından birinde bulunan bir sıfırıncı gün açığını kapattı. Bu açığın, bir hacker grubu tarafından kurumsal yöneticilerin kişisel bilgilerini çalmak için kullanıldığı belirlenmiş durumda.

Oracle güvenlik müdürü Rob Duhart, hafta sonu güncellenen bir yazıda, teknoloji devinin Oracle E-Business suite yazılımında bir açığı düzeltmek için yeni bir yamanın yayınlandığını ve müşterilerin bu güncellemeyi bir an önce yüklemelerini tavsiye ettiğini belirtti.

Yayınlanan güvenlik duyurusu, CVE-2025-61882 olarak kaydedilen açığın, “bir kullanıcı adı ve şifreye ihtiyaç duymadan ağ üzerinden istismar edilebileceği” uyarısını yaptı. Duyuru ayrıca, Oracle müşterilerinin sistemlerinde hackerların varlığını tespit etmelerine yardımcı olacak bazı kompromiz göstergeleri sundu ve hackerların bu açığı kullanarak müşterilerin hassas verilerini çaldığını öne sürdü.

Oracle, dünya genelinde binlerce kuruluşun E-Business Suite’ini kullanarak şirketlerini yönettiğini, müşteri verilerini ve çalışanlarının insan kaynakları dosyalarını sakladığını ifade etti.

Açık, Oracle’ın bu durumu kötüye kullanılmadan önce onarmak için yeterli zamanı olmaması nedeniyle sıfırıncı gün olarak adlandırılıyor.

Duhart’ın güncellenmiş yazısı, daha önceki bir versiyonunda Oracle’ın bazı yöneticilerin “zorbalık e-postaları” aldığını bildiğini belirtmesinin ardından gelen bir değişiklik. Bu durum, daha önce tespit edilen ve Temmuz ayında düzeltmeleri yapılan açıklarla ilişkilendirilmişti. Ancak yeni bulunan sıfırıncı gün açığı, hackerların Oracle’ın E-Business yazılımındaki bilinmeyen zayıflıkları kullanmaya devam ettiğini gösteriyor.

Yöneticilere yönelik zorbalık girişimlerinin haberleri ilk olarak geçen hafta ortaya çıkmıştı.

2 Ekim’de Google güvenlik araştırmacıları, birçok fidye yazılımı saldırısı ve zorbalık girişimi ile bağlantılı olan Clop isimli hacker grubunun, 29 Eylül’de Oracle yöneticilerine kişisel bilgilerini yayınlamamak için para talep eden e-postalar gönderdiğini bildirdi.

Google’ın olay müdahale birimi Mandiant’ın teknoloji müdürü Charles Carmakal, LinkedIn’de yayınladığı bir yazıda, Oracle’ın E-Business yazılımındaki zayıflıkların bir “kitle istismar” kampanyası için kullanıldığını açıkladı. Bu istismarların çoğunun, Temmuz ayındaki yamanın yayınlanmasının ardından Ağustos ayında gerçekleştiğini belirtti.

Carmakal, “Clop, geçen Pazartesi’den itibaren birçok kurbanına zorbalık e-postaları göndermeye başladı” dedi ve hackerların henüz tüm kurbanlarla iletişime geçmediğini de sözlerine ekledi.