CISA Konfirmasi Eksploitasi CVE-2025-61884 pada Oracle E-Business Suite: Batas Waktu Patch 10 November 2025
CISA menambahkan CVE-2025-61884 ke katalog Known Exploited Vulnerabilities (KEV) setelah mengonfirmasi adanya serangan aktif terhadap Oracle E-Business Suite (EBS). Celah SSRF tanpa autentikasi ini berada pada komponen Oracle Configurator dan dinilai mudah dieksploitasi, berpotensi memberi akses tidak sah ke data penting. CISA mewajibkan instansi federal menambal sistem paling lambat 10 November 2025.
Rangkaian serangan: dari kebocoran PoC hingga pemerasan
Investigasi industri keamanan menunjukkan dua rangkaian kampanye berbeda yang menyasar Oracle EBS tahun ini.
- Kampanye Juli mengeksploitasi SSRF pada endpoint
/configurator/UiServlet—kini dipastikan sebagai CVE-2025-61884. Eksploit sempat bocor dan dipakai dalam serangan pencurian data. - Kampanye Agustus menargetkan endpoint
/OA_HTML/SyncServlet(dibetulkan sebagai CVE-2025-61882) dan ditangkal melalui aturan mod_security serta stubbing kelas SYNCSERVLET. Kampanye ini dikaitkan dengan ekosistem pemerasan Clop.
Oracle merilis perbaikan pada 11 Oktober dan memberi skor keparahan 7,5, sembari memperingatkan risiko akses tidak sah ke data yang dapat diakses Oracle Configurator. Meski awalnya tidak menyebut eksploitasi sebelumnya, pembaruan terbukti memutus rantai serangan yang beredar di komunitas bawah tanah.
Detail teknis perbaikan & kebingungan indikator
Perbaikan untuk CVE-2025-61884 dilaporkan mencakup validasi parameter return_url menggunakan regular expression; jika validasi gagal, permintaan diblokir. Di lapangan, sempat terjadi ketidakselarasan indikator kompromi (IOC) terkait eksploit yang dirilis ShinyHunters, yang sebenarnya menargetkan UiServlet (61884) namun sempat tercatat di rilis lain (61882).
Dampak dan siapa yang berisiko
Organisasi yang menjalankan Oracle EBS (termasuk versi 12.2 yang didukung) dan mengekspos endpoint terkait ke internet berisiko mengalami:
- Eksfiltrasi data melalui SSRF ke layanan internal,
- Pivot ke layanan backend via jaringan internal,
- Pemerasan setelah pencurian data (tanpa enkripsi).
Rekomendasi mitigasi segera
- Terapkan patch terbaru Oracle EBS yang mencakup CVE-2025-61884 dan 61882.
- Batasi paparan endpoint
UiServletdanSyncServlet—gunakan WAF/reverse proxy dengan aturan yang memblokir pola berbahaya (termasuk validasireturn_url). - Segmen jaringan untuk meminimalkan dampak SSRF (deny egress default, allowlist tujuan).
- Monitor log aplikasi/web server untuk pola akses abnormal ke endpoint Configurator & SyncServlet; korelasikan dengan IOC dari laporan riset.
- Audit kredensial & token yang mungkin terpapar melalui SSRF; rotasi rahasia dan perketat metadata service akses (IMDSv2/STS).
- Uji regresi pasca-patch pada alur bisnis yang memakai Configurator untuk memastikan kompatibilitas.
Dengan adanya tenggat dari CISA dan bukti eksploit aktif, organisasi disarankan memprioritaskan patch serta menerapkan kontrol pertahanan berlapis untuk meminimalkan risiko residu.
Sumber: CISA confirms hackers exploited Oracle E-Business Suite SSRF flaw
—
Sumber: BleepingComputer
