Oracle publikuje Security Alert dla CVE-2025-61884 w E-Business Suite

Nieuwierzytelnione obejście dostępu w Oracle Configurator

Data publikacji alertu: 11 października 2025 r. (Rev. 1)
Produkty dotknięte: Oracle E-Business Suite 12.2.3–12.2.14 (komponent: Oracle Configurator – Runtime UI)
CVSS v3.1: 7.5 (High) – łatwo podatne, zdalnie wykorzystywane bez uwierzytelnienia przez HTTP; główny wpływ: poufność danych.

W skrócie

Oracle wydał pilny Security Alert dla luki CVE-2025-61884 w Oracle E-Business Suite (EBS). Błąd znajduje się w komponencie Runtime UI produktu Oracle Configurator i pozwala atakującemu z dostępem sieciowym (HTTP) na nieautoryzowany dostęp do wrażliwych zasobów, bez potrzeby posiadania konta w systemie. Oracle rekomenduje natychmiastowe zastosowanie poprawek lub dostępnych obejść oraz utrzymywanie środowisk na wspieranych wersjach.

Kontekst: po fali ataków na EBS (CVE-2025-61882)

Alert dla CVE-2025-61884 pojawia się zaledwie kilka dni po potwierdzonych atakach na klientów EBS z wykorzystaniem poważniejszej luki CVE-2025-61882 (RCE, CVSS 9.8) i po głośnych rekomendacjach od zespołów Google/Mandiant, CISA i innych, by natychmiast łatać i monitorować środowiska EBS. Choć 61884 „tylko” umożliwia nieautoryzowany dostęp do danych (bez zdalnego wykonania kodu), to podnosi łączny profil ryzyka dla organizacji, które wciąż eksponują EBS do internetu lub nie mają pełnej widoczności naruszeń.

Szczegóły techniczne CVE-2025-61884

• Zakres podatności: Oracle E-Business Suite 12.2.3–12.2.14 (tylko wspierane wydania mają dostępne łatki).
• Komponent: Oracle Configurator – Runtime UI.
• Wektor ataku: HTTP (warianty „secure” jak HTTPS z definicji także uważane są za dotknięte).
• Warunki: brak wymagania uwierzytelnienia; podatność jest łatwa do wykorzystania (niskie skomplikowanie ataku).
• Skutek udanego ataku: nieautoryzowany dostęp do krytycznych danych lub pełen dostęp do danych dostępnych z poziomu Configuratora (dominujący wpływ na poufność).
• Nota Oracle: wcześniejsze, niewspierane wydania mogą również być podatne, dlatego zalecany jest upgrade do wspieranych wydań.

Jak to mapuje się na ryzyko w praktyce

W typowych wdrożeniach EBS, Configurator bywa używany do modelowania produktów/konfiguracji i może mieć dostęp do danych klientów, cenników czy informacji operacyjnych. Nieautoryzowany odczyt takich danych może:

• ułatwić wyciek informacji handlowych (cenniki, konfiguracje, zamówienia),
• posłużyć do ruchów bocznych (rozpoznanie środowiska, pivot na inne komponenty EBS),
• w połączeniu z innymi słabościami zwiększyć szanse na pełne naruszenie łańcucha (np. po wcześniejszym RCE przez 61882).

Zalecenia: szybkie działania operacyjne

1. Natychmiast zastosuj poprawki z Patch Availability Document (dostępny dla posiadaczy wsparcia). jeżeli patching musi poczekać – wprowadź tymczasowe ograniczenia dostępu do interfejsu Runtime UI i ogólnie do EBS z sieci publicznej.
2. Ogranicz ekspozycję EBS do internetu (WAF, VPN, allow-list, segmentacja). Rekomendacje Google/TI dla 61882 – choć dotyczą innej luki – są adekwatne również tu: audyt szablonów/artefaktów, limity ruchu wychodzącego, monitoring anomalii, pamięciowa analiza powłamaniowa.
3. Przejrzyj logi i IOCs związane z ostatnimi kampaniami na EBS; sprawdź, czy nie doszło do nieautoryzowanego pobrania danych z modułu Configurator. (W przypadku 61882 publikowano IOCs – można je wykorzystać jako punkt startu).
4. Upewnij się, iż wersje są wspierane (Premier/Extended Support). Oracle nie testuje wydań poza wsparciem; aktualizacja platformy jest elementem kontrolnym.
5. Testy regresji i hardening po patchu:
   • blokady nieużywanych endpointów,
   • wymuszenie TLS i nagłówków bezpieczeństwa,
   • przegląd uprawnień integracji BI/Configurator,
   • wdrożenie dzienników dostępu i alertów dla żądań do Runtime UI. (Wnioski wynikają z charakteru błędu i najlepszych praktyk bezpieczeństwa aplikacji). [Wniosek analityczny]

Co odróżnia 61884 od 61882?

• 61882: RCE (BI Publisher/Concurrent Processing), CVSS 9.8, aktywnie wykorzystywana w 2025 r. przez grupy typu CL0P – wysoki wpływ na CIA.
• 61884: brak RCE, ale pełny dostęp do danych Configuratora bez logowania (CVSS 7.5). Dla środowisk z danymi o wysokiej wrażliwości, ryzyko biznesowe przez cały czas jest znaczne.

Podsumowanie dla zespołów bezpieczeństwa

• Traktuj CVE-2025-61884 jako wysokoprio do patchowania – luka jest prosta do nadużycia i dotyka poufności.
• Skonsoliduj działania z pracami po 61882: łatanie, monitoring, retrospekcje incydentów i redukcja ekspozycji EBS.
• Wdróż ciągłe testy bezpieczeństwa (DAST/SAST i testy manualne) krytycznych endpointów EBS oraz monitoring anomalii ruchu HTTP.

Źródła

1. Oracle – Security Alert Advisory – CVE-2025-61884 (11.10.2025). (Oracle)
2. NVD – CVE-2025-61884: opis, zakres, CVSS. (NVD)
3. Oracle – Text form of Risk Matrices (CVE-2025-61884). (Oracle)
4. Google Threat Intelligence – Oracle EBS zero-day exploitation (kontekst 61882). (Google Cloud)
5. The Hacker News – New Oracle EBS Bug Could Let Hackers Access Data Without Login (przegląd i kontekst). (The Hacker News)