Lebih dari 900 Server Oracle E-Business Terpapar di Internet Saat Serangan Aktif Berlangsung

Ratusan server Oracle E-Business Suite (EBS) dilaporkan masih dapat diakses dari internet di tengah serangan aktif yang mengeksploitasi kerentanan kritis CVE-2026-46817. Para administrator yang belum memasang patch keamanan terbaru diminta segera melakukan pembaruan untuk mencegah pengambilalihan sistem oleh penyerang.
Perusahaan intelijen ancaman Defused mengonfirmasi bahwa eksploitasi terhadap kerentanan tersebut telah terdeteksi di dunia nyata, sementara Shadowserver Foundation melaporkan terdapat sekitar 950 instance Oracle EBS yang masih terekspos ke internet.
Kerentanan Memungkinkan Pengambilalihan Server
Kerentanan CVE-2026-46817 memiliki skor CVSS 9.8 (Critical) dan ditemukan pada komponen File Transmission di modul Oracle Payments untuk Oracle E-Business Suite.
Kelemahan ini memungkinkan penyerang:
- tidak memerlukan hak akses (unauthenticated),
- hanya membutuhkan akses jaringan melalui HTTP,
- melakukan serangan dengan kompleksitas rendah,
- hingga mengambil alih sistem yang belum diperbarui.
Oracle sebenarnya telah merilis patch untuk celah keamanan ini melalui Critical Patch Update (CPU) Mei 2026 dan mendesak seluruh pelanggan segera menginstalnya.
Serangan Aktif Sudah Terdeteksi
Meski Oracle belum secara resmi menandai CVE-2026-46817 sebagai kerentanan yang sedang dieksploitasi, Defused melaporkan telah mendeteksi aktivitas eksploitasi pada sistem honeypot miliknya.
Menurut Defused, percobaan serangan pertama muncul pada akhir pekan lalu, meskipun:
- belum ada Proof-of-Concept (PoC) yang dipublikasikan,
- dan sebelumnya belum pernah ada laporan eksploitasi terhadap kerentanan tersebut.
Hal ini menunjukkan pelaku ancaman kemungkinan telah berhasil mengembangkan metode eksploitasi sendiri.
Sekitar 950 Server Masih Terbuka ke Internet
Shadowserver Foundation juga memperingatkan bahwa mereka masih melacak sekitar 950 server Oracle E-Business Suite yang dapat diakses langsung dari internet.
Namun, belum diketahui berapa banyak di antaranya yang telah memasang patch keamanan terbaru sehingga terlindungi dari serangan CVE-2026-46817.
Administrator disarankan segera:
- memasang patch Mei 2026,
- membatasi akses publik ke Oracle EBS,
- serta memantau aktivitas mencurigakan pada server.
Oracle Terus Menjadi Target Serangan
Dalam beberapa bulan terakhir, berbagai produk Oracle menjadi sasaran eksploitasi oleh kelompok peretas.
Beberapa insiden penting antara lain:
- CISA memasukkan CVE-2024-21182 pada Oracle WebLogic Server ke dalam daftar Known Exploited Vulnerabilities (KEV) bulan lalu.
- Oracle menambal zero-day PeopleSoft Suite CVE-2026-35273 yang dieksploitasi kelompok ShinyHunters untuk mencuri data berbagai organisasi, termasuk Nottingham University dan National Association of Insurance Commissioners (NAIC).
- Nissan baru-baru ini juga mengungkap kebocoran data setelah sistem Oracle PeopleSoft miliknya berhasil ditembus.
- Sejak Agustus 2025, kelompok ransomware Clop diketahui mengeksploitasi CVE-2025-61882 pada Oracle EBS dalam serangan terhadap berbagai universitas di Amerika Serikat, termasuk Harvard University, University of Pennsylvania, Dartmouth College, University of Phoenix, serta perusahaan seperti Logitech, GlobalLogic, dan The Washington Post.
Menurut CISA, sejak November 2021 terdapat 44 kerentanan Oracle yang telah masuk dalam daftar Known Exploited Vulnerabilities, dengan 13 di antaranya pernah dimanfaatkan dalam serangan ransomware.
Sumber: Defused, Shadowserver Foundation








