ABD merkezli teknoloji şirketi Oracle’ın kurumsal yazılım sistemlerine yönelik gerçekleştirilen siber saldırı, 2025 yılının en ciddi dijital tehditlerinden biri olarak öne çıkıyor. Google’ın ana şirketine bağlı Tehdit İstihbarat Grubu (GTIG), Oracle E-Business Suite (EBS) sistemlerini hedef alan saldırının, daha önce fidye yazılım saldırılarıyla tanınan CL0P adlı hacker grubunun eylemleriyle bağlantılı olduğunu belirtti.
YÜZDEN FAZLA ŞİRKET ETKİLENDİ
Google’ın siber güvenlik araştırmacısı Austin Larsen, Reuters’a yaptığı açıklamada, saldırıdan 100’den fazla şirketin etkilenmiş olabileceğini ifade etti. Larsen, “Şu anda onlarca mağdurdan haberdarız, ancak sayının çok daha fazla olduğunu düşünüyoruz” şeklinde konuşarak saldırının aylar önce başlamış olabileceği uyarısında bulundu.
Bu saldırı, Oracle’ın müşteri yönetimi, finans, tedarik zinciri ve lojistik gibi kritik süreçleri içeren E-Business Suite uygulama paketine yönelmiş durumda. GTIG, saldırı neticesinde büyük miktarda müşteri verisinin çalındığını açıkladı.
Uzmanlar, saldırının CVE-2025-61882 kodlu kritik bir güvenlik açığı üzerinden gerçekleştirildiğini aktarıyor. Bu açığın uzun süre fark edilmediği ve saldırganlar tarafından “sıfır gün” zafiyeti olarak kullanıldığı vurgulanıyor. Oracle, 2 Ekim 2025 tarihinde bu güvenlik açığını doğrulamış ve Temmuz ayına ait yamanın uygulanması çağrısında bulunmuştu. Ancak, saldırıların yoğunlaşmasının ardından şirket, 4 Ekim’de acil bir güvenlik güncellemesi yayınlamak zorunda kaldı.
‘KARMAŞIK TEKNİK KULLANDILAR’
Cyber Press’in analizine göre, hackerlar bu açıkları değerlendirerek çeşitli karmaşık saldırı teknikleri uyguladılar: SSRF (Sunucu Taraflı İstek Sahteciliği), CRLF enjeksiyonu, kimlik doğrulama atlatma ve XSL şablon enjeksiyonu gibi yöntemlerle EBS sunucularında uzaktan kod çalıştırma yetkisi elde ettiler.
Saldırganlar, 29 Eylül 2025 tarihinde başlattıkları büyük bir şantaj kampanyasıyla binlerce kurumsal yöneticiyi hedef alarak fidye e-postaları gönderdiler. Bu mesajlarda, hedef aldıkları şirketlerin Oracle EBS sistemlerinden çaldıkları verilere dair ayrıntılar ve dosya listeleri yer alıyordu. Kullanılan iletişim adreslerinin CL0P’un veri sızıntısı platformuyla bağlantılı olduğu da tespit edildi.
CL0P grubu, bu iddialara doğrudan yanıt vermekle birlikte, daha önce Oracle’ın “temel ürünlerinde güvenlik açıkları bıraktığını” ima eden bir açıklama yaptı. Google ise saldırının, grubun geçmişteki üçüncü taraf hizmet sağlayıcılarına yönelik saldırılarına benzer bir örüntü izlediğini ve etkilerinin henüz tamamen anlaşılmadığını vurguladı.
Yaşananlar, 2025 yılı içinde şimdiye kadarki en geniş kapsamlı kurumsal veri ihlallerinden biri olarak kayıtlara geçme potansiyeline sahip.
