Oracle E-Business Suite’da xavfli zaifliklar: tajovuzkorlar uchun to‘liq kirish imkonini beruvchi xatoliklar aniqlandi

Oracle kompaniyasi o‘zining mashhur E-Business Suite platformasining Marketing moduli tarkibida aniqlangan ikki jiddiy zaiflik haqida ogohlantirish berdi. Ushbu zaifliklar — CVE-2025-53072 va CVE-2025-62481 — masofadan turib tizimni to‘liq nazorat ostiga olish imkonini beruvchi kritik darajadagi xatoliklar sifatida baholangan. Ularning CVSS xavf darajasi 9.8 ball bo‘lib, bu yilgi eng xavfli zaifliklar qatoriga kiradi.

Zaifliklarning mohiyati

Mazkur xatoliklar Marketing Administration komponentidagi HTTP so‘rovlarini qayta ishlashdagi zaifliklar bilan bog‘liq. Eng xavflisi shundaki, hujumchi tizimga kirish uchun hech qanday maxsus huquq, parol yoki foydalanuvchi ishtiroki talab etilmaydi. Faqatgina tarmoq orqali kirish imkonining o‘zi yetarli bo‘ladi.

Shu orqali tajovuzkor Oracle Marketing modulini to‘liq egallab, quyidagi imkoniyatlarga ega bo‘ladi:

• maxfiy mijoz ma’lumotlarini o‘g‘irlash;
• marketing kampaniyalarini o‘zgartirish yoki o‘chirib tashlash;
• butun tizimning ishlashini izdan chiqarish.

Bu esa nafaqat korporativ axborot xavfsizligi, balki tashkilotning obro‘si va moliyaviy barqarorligi uchun ham jiddiy xavf tug‘diradi.

Ta’sir doirasi

Zaifliklar 12.2.3 dan 12.2.14 gacha bo‘lgan barcha versiyalarga ta’sir qiladi. Oracle tomonidan ma’lum qilinishicha, hozircha ularni kamaytiruvchi hech qanday muqobil yechim (mitigatsiya) mavjud emas — yagona yo‘l bu so‘nggi xavfsizlik yangilanishlarini zudlik bilan o‘rnatishdir.

CVSS 3.1 vektori quyidagicha baholangan:

• AV:N — tarmoq orqali hujum;
• AC:L — murakkablik past;
• PR:N — maxsus huquqlar talab etilmaydi;
• UI:N — foydalanuvchi ishtirokisiz;
• C:H / I:H / A:H — maxfiylik, yaxlitlik va mavjudlikka yuqori darajadagi zarar.

Bu parametrlar zaiflikning qanchalik oson ekspluatatsiya qilinishi va qanchalik katta zarar yetkazishi mumkinligini yaqqol ko‘rsatadi.

Tahlil va xavf manzarasi

So‘nggi paytlarda korporativ tizimlar va ERP platformalariga qarshi hujumlar soni keskin oshgan. Xususan, ransomware guruhlari va davlat darajasidagi APT aktorlar bunday tizimlardagi zaifliklardan foydalanib, ichki tarmoqlarga kirish, ma’lumotlarni o‘g‘irlash yoki butun infratuzilmani falaj qilishga urinishmoqda.

Shunday bir paytda, Oracle E-Business Suite kabi keng qo‘llaniladigan biznes tizimida shunday ochiqliklarning paydo bo‘lishi global tahdid manzarasini yanada keskinlashtirmoqda. Ayniqsa, mijoz ma’lumotlari va marketing kampaniyalari bilan ishlovchi tashkilotlar (banklar, chakana savdo tarmoqlari, elektron tijorat kompaniyalari) uchun bu zaifliklar GDPR yoki CCPA kabi xalqaro ma’lumotlarni himoya qilish qonunlariga zid holatlar bilan yakunlanishi mumkin.

Tavsiya va himoya choralar

Oracle kompaniyasi barcha foydalanuvchilarni 2025-yil oktyabr oyi uchun chiqarilgan Critical Patch Update paketini imkon qadar tezroq o‘rnatishga chaqirmoqda.

Mutaxassislar esa quyidagi qo‘shimcha choralarni tavsiya etishmoqda:

• Tarmoq segmentatsiyasini kuchaytirish;
• Web Application Firewall (WAF) orqali HTTP anomaliyalarini filtrlash;
• Marketing Administration moduliga oid g‘ayrioddiy tarmoq faoliyatini kuzatish;
• Zaxira nusxalarni doimiy yangilab borish.

Kiberxavfsizlik sohasidagi yetakchi kompaniyalardan biri — Mandiant — yaqin kunlarda ushbu zaifliklardan foydalanadigan ekspluat kodlari darknet forumlarida paydo bo‘lishi mumkinligi haqida ogohlantirmoqda.

Hozircha ushbu zaifliklardan amaliy foydalanish holatlari aniqlanmagan, biroq himoyasiz qolgan tizimlar uchun bu vaqt bilan poyga holatiga aylanmoqda. Korxonalar o‘z tizimlarini darhol yangilamasa, hujumchilarga oson nishonga aylanishi hech gap emas.

Bu voqea yana bir bor eslatadi: har qanday korporativ IT muhitida profilaktika — eng yaxshi himoya vositasidir. Oracle E-Business Suite’dagi ushbu zaifliklar esa raqamli infratuzilmalarni barqaror va xavfsiz saqlash uchun doimiy e’tibor va tezkor reaktsiyaning naqadar muhimligini isbotlab berdi.