Критическая уязвимость в Oracle E-Business Suite активно эксплуатируется в реальных кибератаках!

Киберпреступники продолжают нацеливаться на крупные корпоративные информационные системы. На этот раз в центре угрозы оказалась платформа Oracle E-Business Suite (EBS), используемая тысячами организаций по всему миру. Эксперты подтвердили, что критически опасная уязвимость, зарегистрированная под идентификатором CVE-2026-46817, активно эксплуатируется в реальных кибератаках.

Данная уязвимость обнаружена в компоненте File Transmission модуля Oracle Payments и позволяет злоумышленникам удаленно получить полный контроль над системой без какой-либо аутентификации. Оценка уязвимости в 9,8 балла по шкале CVSS 3.1 указывает на ее принадлежность к наивысшему — критическому (Critical) уровню опасности.

Что такое Oracle E-Business Suite?

Oracle E-Business Suite (Oracle EBS) — это корпоративная платформа управления бизнесом, широко используемая крупными предприятиями, банками, государственными учреждениями и промышленными организациями по всему миру. Через эту систему управляются финансовые операции, закупки, логистика, кадровые ресурсы, производство, взаимодействие с клиентами и процессы электронных платежей.

Поэтому любая критическая уязвимость, обнаруженная в Oracle EBS, создает угрозу не только одному серверу, но и всей корпоративной инфраструктуре, а также хранящимся в ней важным бизнес-данным.

В чем суть уязвимости?

Уязвимость CVE-2026-46817 обнаружена в компоненте File Transmission модуля Oracle Payments, отвечающем за передачу файлов.

Проблема заключается в том, что неаутентифицированный пользователь, обращающийся через Интернет по протоколам HTTP или HTTPS, может отправить специально сформированный запрос и эксплуатировать сервис Oracle Payments.

В результате злоумышленник может:

  • читать конфиденциальные данные;
  • изменять конфигурацию системы;
  • нарушать работу сервисов;
  • установить полный контроль над сервером.

Для использования уязвимости не требуются имя пользователя, пароль или другие аутентификационные данные. Низкий уровень сложности атаки делает возможной ее автоматизированную массовую эксплуатацию.

Зафиксированы реальные атаки

27–28 июня 2026 года специалисты по кибербезопасности зафиксировали реальные атаки с использованием данной уязвимости на специализированные honeypot-системы, предназначенные для Oracle EBS.

Это является первым подтвержденным случаем эксплуатации уязвимости CVE-2026-46817 в реальной среде.

Примечательно, что на сегодняшний день публичного Proof-of-Concept (PoC) эксплойта для данной уязвимости не опубликовано. Это означает, что стоящая за атаками группа использует собственный закрытый инструмент эксплуатации.

Как осуществляется атака?

В зафиксированных экспертами атаках злоумышленники отправляли специально сформированные HTTP POST-запросы на адрес /OA_HTML/ibytransmit в Oracle EBS.

Данная конечная точка (endpoint) обслуживает процессы передачи файлов в системе Oracle iPayment.

В составе запроса использовался объект DeliveryRequest в XML-формате, в котором через механизм передачи CODEX_PULL параметр FULL_FILE_PATH был направлен на файл /etc/passwd.

В операционных системах Linux файл /etc/passwd хранит основную системную информацию о пользователях. Попытка чтения именно этого файла является классическим признаком атак типа Path Traversal или Local File Read (LFR).

В случае успешной атаки злоумышленник может читать и другие важные файлы на сервере, осуществлять дополнительные этапы эксплуатации и полностью захватить систему.

В каких регионах наблюдались атаки?

По данным Shadowserver Foundation, осуществляющей мониторинг угроз в Интернете, только 28 июня 2026 года по всему миру было зафиксировано в общей сложности 456 попыток эксплуатации.

В региональном разрезе атаки распределились следующим образом:

  • Северная Америка — 193;
  • Азия — 181;
  • Европа — 53;
  • Южная Америка — 18;
  • Африка — 9;
  • Океания — 2.

Это свидетельствует о глобальном характере активной эксплуатации уязвимости.

Индикаторы компрометации (IoC)

Эксперты рекомендуют обратить особое внимание на следующие индикаторы:

  • запросы с IP-адреса 45.84.137.125;
  • необычные POST-запросы к endpoint-у /OA_HTML/ibytransmit;
  • нестандартные полезные нагрузки (payloads) в XML-формате DeliveryRequest;
  • User-Agent строка ibytransmit-lab-poc/1.0;
  • использование механизма передачи CODEX_PULL;
  • наличие параметров типа FULL_FILE_PATH=/etc/passwd.

При обнаружении этих признаков высока вероятность того, что система была скомпрометирована.

Какие меры предприняла Oracle?

Компания Oracle устранила данную уязвимость в рамках выпущенного 28 мая 2026 года набора критических обновлений безопасности (Critical Security Patch Update — CSPU).

Это обновление закрыло в общей сложности 35 CVE в продуктах Oracle, 11 из которых имели критический уровень опасности.

Кроме того, компания 16 июня 2026 года объявила о дополнительных обновлениях безопасности и призвала всех клиентов установить обновления как можно быстрее.

Рекомендации для организаций

Организациям, использующим Oracle E-Business Suite, рекомендуется незамедлительно принять следующие меры:

  • установить майское обновление безопасности CSPU 2026 года для Oracle EBS версий 12.2.3–12.2.15;
  • не оставлять интерфейсы управления Oracle EBS в открытом доступе из Интернета;
  • ограничить внешний доступ к каталогу /OA_HTML/, особенно с использованием VPN;
  • проанализировать логи веб-сервера на наличие XML-запросов к endpoint-у /OA_HTML/ibytransmit;
  • проверить логи сети, прокси и межсетевых экранов на наличие IP-адреса 45.84.137.125 и User-Agent строки ibytransmit-lab-poc/1.0;
  • если обновление безопасности не было установлено своевременно, провести полную проверку системы на предмет компрометации (Compromise Assessment);
  • организовать непрерывный мониторинг серверов Oracle EBS с помощью EDR, WAF и SIEM-систем.

Заключение

Уязвимость CVE-2026-46817 еще раз продемонстрировала, насколько опасными становятся современные кибератаки, направленные против корпоративных бизнес-систем. Наиболее тревожным аспектом является то, что данная уязвимость уже эксплуатируется в реальных атаках, однако ее эксплойт не был опубликован публично. Это указывает на то, что злоумышленники используют специально разработанные частные инструменты.

Поскольку Oracle E-Business Suite является одной из систем, составляющих ядро финансовых и бизнес-процессов, ее компрометация может привести к утечке конфиденциальных данных, финансовым потерям, нарушению работы сервисов и дестабилизации всей корпоративной инфраструктуры.

Поэтому для всех организаций, использующих Oracle EBS, установка обновлений безопасности без промедления, ограничение интерфейсов, доступных из Интернета, и постоянный мониторинг системы в настоящее время являются одними из важнейших мер безопасности.