Aktívan kihasználják az Oracle E-Business Suite kritikus sérülékenységét – azonnali frissítés szükséges

Oracle E-Business Suite sérülékenység

A kiberbiztonsági szakértők megerősítették, hogy támadók már aktívan kihasználják az Oracle E-Business Suite (EBS) egyik kritikus sérülékenységét.

Az érintett hiba az Oracle Payments File Transmission komponensben található, és lehetővé teszi, hogy hitelesítés nélküli támadók távolról kompromittálják a sérülékeny rendszereket.

A CVE-2026-46817 azonosítójú sebezhetőség 9,8-as CVSS pontszámot kapott, vagyis a lehető legsúlyosabb kategóriába tartozik. Az Oracle már 2026 májusában kiadta a javítást, azonban most először igazolták, hogy a sérülékenységet éles támadások során is kihasználják.

Már zajlanak a támadások

A Defused fenyegetésfelderítő vállalat szerint a hétvégén több Oracle E-Business honeypot rendszerükön is észleltek támadási kísérleteket, amelyek egyértelműen a CVE-2026-46817 sérülékenységet célozták.

Ez az első nyilvánosan dokumentált eset, amikor a sérülékenységet valós környezetben is kihasználják.

Különösen figyelemre méltó, hogy jelenleg nem érhető el nyilvános Proof-of-Concept (PoC) exploit, ami arra utal, hogy a támadók saját exploitot fejlesztettek, vagy azt zárt csatornákon szerezték be. Ez gyakran arra utal, hogy fejlettebb támadói csoportok kezdték meg a sérülékenység kihasználását.

Hitelesítés nélkül is támadható

A sérülékenység lehetővé teszi, hogy hálózaton keresztül, HTTP kapcsolaton át, hitelesítés nélkül hajtsanak végre támadásokat az Oracle Payments rendszerek ellen.

Mivel nincs szükség érvényes felhasználói fiókra vagy előzetes hozzáférésre, az internet felől elérhető rendszerek különösen veszélyeztetettek.

Az Oracle már májusban kiadta a javítást

A hibát az Oracle a 2026 májusi Critical Security Patch Update (CSPU) csomag részeként javította.

A gyártó már akkor is figyelmeztetett arra, hogy a kritikus sérülékenységek nyilvánosságra kerülése után a támadók gyorsan elemzik a javításokat, majd működő exploitokat készítenek belőlük.

Az érintett verziók:

  • Oracle E-Business Suite 12.2.3
  • Oracle E-Business Suite 12.2.4
  • Oracle E-Business Suite 12.2.15

Sikeres támadás esetén a támadó teljes hozzáférést szerezhet az Oracle Payments környezethez.

Több száz internet felől elérhető rendszer lehet veszélyben

A Shadowserver Foundation adatai szerint jelenleg több mint 450 internet felől közvetlenül elérhető Oracle E-Business Suite rendszer található világszerte.

Ezek közül közel 200 az Egyesült Államokban és Európában működik.

Nem ismert, hogy ezek közül pontosan hány rendszert frissítettek már, azonban az internetre közvetlenül kitett ERP rendszerek hagyományosan elsődleges célpontjai a támadóknak.

Az ERP rendszerek kiemelt célpontnak számítanak

Az Oracle E-Business Suite a világ egyik legelterjedtebb vállalatirányítási (ERP) platformja, amelyet többek között az alábbi területeken használnak:

  • államigazgatás;
  • pénzügyi szektor;
  • egészségügy;
  • felsőoktatás;
  • gyártóipar;
  • telekommunikáció.

Ezek a rendszerek gyakran kezelnek:

  • pénzügyi adatokat;
  • fizetési folyamatokat;
  • HR-adatokat;
  • beszerzési információkat;
  • ellátási láncokat;
  • üzletileg kritikus folyamatokat.

Egy sikeres kompromittálás ezért nem csupán az Oracle Payments modult érintheti, hanem megfelelő konfiguráció esetén további vállalati rendszerekhez is hozzáférést biztosíthat.

Nem ez az első Oracle elleni támadási hullám

Az elmúlt időszakban több Oracle-terméket is célba vettek a támadók.

2025-ben a Clop zsarolóvírus-csoport egy másik Oracle E-Business Suite sérülékenységet (CVE-2025-61882) használt ki nagyszabású adatlopási kampányok során.

Az áldozatok között több ismert szervezet is szerepelt, köztük:

  • Harvard University;
  • University of Pennsylvania;
  • Dartmouth College;
  • University of Phoenix;
  • The Washington Post;
  • Logitech;
  • GlobalLogic.

Emellett a közelmúltban az amerikai CISA is felvette a CVE-2024-21182 Oracle WebLogic Server sérülékenységet a Known Exploited Vulnerabilities (KEV) listájára, miután igazolták annak aktív kihasználását.

Szintén 2026-ban egy másik kritikus Oracle PeopleSoft nulladik napi sérülékenységet (CVE-2026-35273) is aktívan kihasználtak, amelyet a kutatók a ShinyHunters csoporthoz kötöttek.

A lassú frissítési ciklus továbbra is komoly probléma

A nagyvállalati rendszerek esetében a javítások telepítése gyakran heteket vagy akár hónapokat is késhet.

Ennek oka, hogy az ERP-rendszerek számos üzletileg kritikus folyamatot szolgálnak ki, ezért a frissítések telepítése előtt hosszadalmas tesztelésre van szükség.

A támadók ezt az időablakot használják ki:

  • elemzik a gyártók biztonsági javításait;
  • visszafejtik a módosításokat;
  • exploitot fejlesztenek;
  • majd még a frissítések telepítése előtt megkezdik a sérülékeny rendszerek támadását.

A hatóságok azonnali frissítést javasolnak

Az Oracle mellett a szingapúri Cyber Security Agency (CSA) is arra figyelmeztetett, hogy a sérülékenység teljes rendszerkompromittálást tehet lehetővé.

A szakértők azt javasolják, hogy az érintett szervezetek:

  • haladéktalanul telepítsék a 2026. májusi Oracle biztonsági frissítéseket;
  • vizsgálják felül az internet felől elérhető Oracle E-Business Suite rendszereiket;
  • ellenőrizzék a naplókat gyanús aktivitások után kutatva;
  • ahol lehetséges, korlátozzák az internetes elérést az adminisztrációs felületekhez.

Összegzés

A CVE-2026-46817 sérülékenység aktív kihasználása ismét rámutat arra, hogy a kritikus vállalatirányítási rendszerek elleni támadások egyre gyorsabban követik a biztonsági javítások megjelenését.

Mivel a sérülékenység hitelesítés nélkül, távolról is kihasználható, a frissítések halogatása jelentősen növeli a kompromittálás kockázatát. Az Oracle E-Business Suite-et használó szervezetek számára a javítás telepítése jelenleg kiemelt prioritást jelent.

Az oldal tartalma nem másolható!