Oracle E-Business Suite kullanıcılarını hedef alan yeni bir güvenlik açığı, saldırganların sisteme uzaktan erişim sağlamasına olanak tanıyor. CVE-2026-46817 olarak takip edilen bu zafiyet, Oracle Payments modülünde yetki yönetimi ve kimlik doğrulama eksikliğinden kaynaklanıyor ve ağ üzerinden HTTP erişimi olan herkes tarafından istismar edilebiliyor.
Saldırının Genel Çerçevesi
CVSS skoru 9.8 olan bu açıklık, Oracle Payments sürümleri 12.2.3 ile 12.2.15 arasında görülüyor. Oracle, geçtiğimiz ay kritik güvenlik yamalarıyla sorunu kapatmaya başladı ancak yama öncesinde ve yamanın yaygınlaşmadığı ortamlar halen risk altında. Özellikle hafta sonu, güvenlik araştırmacıları tarafından kurulan sahte Oracle E-Business tuzak sistemlerinde bu açığın aktif olarak kullanıldığı gözlemlendi. İlginç olan ise daha önce bu açığın kullanılmadığı ve kamuya açık herhangi bir kanıt kodunun (PoC) bulunmamasıydı.
Hangi Sistemler Risk Altında?
Oracle Payments kullanımının yaygın olduğu finansal ve kurumsal altyapılar doğrudan etkileniyor. Geçen yıl benzer şekilde, CVE-2025-61882 kodlu kritik başka bir zafiyet Cl0p fidye yazılımı grubunun saldırılarında kullanılmıştı. Bu yeni açığın da benzer şekilde hedefli veya fırsatçı saldırı kampanyalarının parçası olması muhtemel.
Aynı dönemde, PeopleSoft Suite’te bulunan ve CVE-2026-35273 olarak takip edilen başka bir kritik sıfırıncı gün açığı da ShinyHunters (SHADOW-AETHER-015) adlı tehdit aktörü tarafından veri hırsızlığı ve fidye amaçlı istismara uğramıştı. Nissan gibi büyük otomotiv şirketleri dahi bu açığın hedefi olmuş, çalışanların banka bilgileri ve sosyal güvenlik numaraları gibi hassas bilgiler açığa çıkmıştı.
Saldırı Zinciri ve Teknik Detaylar
Bu zafiyetlerin ortak noktası, karmaşık ve çok aşamalı saldırı zincirleriyle çalışması. Örneğin CVE-2026-35273, Java’nın XMLDecoder bileşeni üzerinden, uygulama sunucusunun kendi JVM ortamında ve ancak sunucu yeniden başlatıldığında tetiklenen gizli bir kod yürütme açığı. Geleneksel güvenlik izleme araçları çoğunlukla bu saldırıyı fark edemiyor. Benzer şekilde, CVE-2026-46817 de ağ üzerinden kimlik doğrulama gerektirmeden kontrol ele geçirmeye izin veriyor.
Siber Güvenlik Ekipleri İçin Öneriler
Öncelikle, Oracle’ın yayımladığı kritik yamaların derhal uygulanması gerekiyor. EDR ve SIEM sistemleri, Oracle Payments modülüne yönelik HTTP trafiğini yakından izlemeli. Ağ segmentasyonu ile ödeme sistemleri diğer kurumsal uygulamalardan ayrılmalı. Ayrıca, IAM (Kimlik ve Erişim Yönetimi) politikaları gözden geçirilmeli ve mümkünse çok faktörlü kimlik doğrulama etkinleştirilmeli. Olay müdahale planları hazırlanarak, şüpheli erişimlerin erken tespiti ve hızlı müdahale sağlanmalı.
Yöneticiler, özellikle Oracle Payments ve PeopleSoft gibi kritik ERP modüllerine yönelik logları ayrıntılı incelemeli; anormal yeniden başlatma olayları, beklenmedik dosya faaliyetleri ya da yetkisiz erişim denemeleri takip edilmeli. Bu tür zafiyetler, kurumların finansal verilerinin ve kişisel bilgilerin açığa çıkmasına yol açabilir, dolayısıyla proaktif savunma şart.