Oracle Identity Manager’da keşfedilen ve CVE-2025-61757 olarak tanımlanan kritik bir güvenlik açığı, kimlik doğrulama eksikliği nedeniyle uzaktan kimlik doğrulaması yapılmadan kod çalıştırılmasına olanak veriyor. CVSS skoru 9.8 olan bu zafiyet, özellikle Oracle Fusion Middleware bileşenlerinde yer alan API uç noktalarındaki güvenlik filtrelerinin atlatılmasıyla aktif olarak sömürülmekte. Söz konusu açık, Oracle’ın 12.2.1.4.0 ve 14.1.2.1.0 sürümlerini etkiliyor ve geçen ay yayınlanan üç aylık güncellemelerle kapatıldı.
Türkiye İçin Ne Anlama Geliyor?
Türkiye’deki kurumlar ve KOBİ’ler için bu açık, kritik altyapıların ve veri güvenliğinin ciddi biçimde tehlikeye girmesi anlamına geliyor. Özellikle KVKK kapsamında kişisel verilerin korunması zorunluluğu olan kurumlar, bu tür kimlik doğrulama atlatmalarına karşı savunmasız kalabilir. Örneğin, bir e-ticaret platformunda bu açık kullanılarak API uç noktalarına yetkisiz erişim sağlanması, müşteri verilerinin çalınması veya sistem üzerinde kötü amaçlı kodların çalıştırılmasıyla sonuçlanabilir. Bu durum, hem müşteri güvenini zedeler hem de yasal yaptırımlara yol açabilir.
Ayrıca, kamu kurumları ve finans sektörü gibi kritik altyapılar, bu tür zero-day açıklar nedeniyle hedef alınabilir. Türkiye’deki siber güvenlik mevzuatları ve BT güvenlik politikaları kapsamında, Federal Sivil Yürütme Dalları (FCEB) benzeri kurumların 12 Aralık 2025 tarihine kadar yamaları uygulaması gerektiği gibi, yerel kurumların da benzer zaman çizelgeleriyle hareket etmesi önem taşıyor. Siber saldırganların, özellikle konteyner ortamlarında rastgele SSH portları kullanarak lateral hareket yapma teknikleriyle birleştiğinde, bu açık daha da tehlikeli hale geliyor.
Bu bağlamda, kurumların bulut güvenliği ve e-posta güvenliği gibi diğer kritik alanlarda da bütüncül bir yaklaşım benimsemesi, saldırı yüzeyini azaltmak açısından faydalı olacaktır.
Sistem Yöneticileri ve SOC Ekipleri İçin Hızlı Kontrol Listesi
- Oracle Identity Manager’ın etkilenen sürümlerini tespit edip, resmi yamaları derhal uygulayın.
- API uç noktalarına yönelik anormal HTTP POST isteklerini ve URI manipülasyonlarını loglayarak izleyin.
- EDR ve IDS/IPS sistemlerinde CVE-2025-61757 için güncel imzaların ve kuralların yüklü olduğundan emin olun.
- Firewall ve WAF kurallarını, URI parametrelerinde “?WSDL” veya “;.wadl” gibi filtre atlatma girişimlerine karşı sıkılaştırın.
- Kimlik doğrulama akışlarını manipüle etmeye yönelik olağandışı davranışları tespit etmek için anomali tespiti araçlarını kullanın.
- API erişim kontrollerini gözden geçirerek, gereksiz izinleri kaldırın ve en az ayrıcalık prensibini uygulayın.
- Konteyner ve mikroservis ortamlarında rastgele açılan SSH portlarını denetleyin ve gereksiz portları kapatın.
- Çalışan sistemlerde Groovy script ve benzeri dinamik kod çalıştırma mekanizmalarını sınırlayın ve izleyin.
Teknik Özet
- Kullanılan araçlar ve zararlılar: Kimlik doğrulama atlatması, özel hazırlanmış HTTP POST istekleri, Groovy anotasyonları ile uzaktan kod çalıştırma.
- Hedef sektörler ve bölgeler: Kritik altyapılar, finans, kamu ve kurumsal BT ortamları; dünya genelinde aktif saldırılar, Türkiye dahil.
- Zafiyet kodu: CVE-2025-61757 (NVD Kaynağı), kimlik doğrulama eksikliği nedeniyle önceden kimlik doğrulaması yapılmadan kod çalıştırma.
- Saldırı zinciri: 1) URI filtre atlatma (?WSDL, ;.wadl ekleri), 2) Özel HTTP POST ile Groovy script sözdizimi kontrol uç noktasına erişim, 3) Uzaktan kod çalıştırma ve ayrıcalık yükseltme.
- Önerilen savunma: Güncel yamaların uygulanması, API erişim kontrollerinin sıkılaştırılması, anomali tespiti ve loglama, güvenlik duvarı kurallarının güçlendirilmesi.
Bu kritik açık, özellikle kimlik doğrulama mekanizmalarının zayıf olduğu sistemlerde ciddi riskler oluşturuyor. Sistem yöneticileri ve SOC ekiplerinin, yamaları hızla uygulaması ve saldırı göstergelerini yakından takip etmesi hayati önem taşıyor. Ayrıca, bulut ortamlarında çalışan uygulamalarda MCP istemcisi ve Pydantic AI gibi modern güvenlik araçlarının entegrasyonu, saldırı yüzeyini azaltmaya yardımcı olabilir.
Benzer şekilde, fidye yazılımı saldırılarına karşı kapsamlı bir savunma için çok katmanlı güvenlik stratejileri geliştirilmelidir. Bu tür zero-day açıkların erken tespiti ve müdahalesi, kurumların siber dayanıklılığını artıracaktır.