Oracle EBS-sårbarhed nu under aktiv udnyttelse

Eskil Sørensen
10.22.2025 11:00
Historien om en bebuden udnyttelse.

Så kom beskeden, som mange inden for sikkerhedsmiljøet har forventet: At sårbarheden i Oracle EBS nu er under udnyttelse. 

Det er den amerikanske cybersikkerhedsmyndighed CISA, der har bekræftet, at EUVD-2025-33878 / CVE-2025-61884, en alvorlig SSRF-sårbarhed i Oracle E-Business Suite, udnyttes aktivt i angreb. Sårbarheden er derfor blevet tilføjet til CISA’s Known Exploited Vulnerabilities (KEV)-katalog, og amerikanske myndigheder er pålagt at patche den senest 10. november 2025.

Det skriver Bleeping Computer. 

Hvad er sårbarheden for en størrelse?

Sårbarheden findes i Oracle Configurator-komponenten og tillader unauthenticated server-side request forgery (SSRF). Det betyder, at en angriber kan få systemet til at sende forespørgsler til interne eller eksterne ressourcer, hvilket kan føre til uautoriseret adgang til følsomme data.

Oracle har givet sårbarheden en CVSS-score på 7.5, og selvom den først blev offentliggjort den 11. oktober, har den været udnyttet siden juli – blandt andet af grupper som ShinyHunters og Scattered Lapsus$, der har lækket exploits og sendt afpresningsmails til virksomheder.

Det er derfor, at det har været en offentlig kendt hemmelighed, at sårbarheden ville komme på KEV-listen før eller siden.

Forvirring og forsinket respons

Oracle har ikke selv bekræftet, at sårbarheden har været udnyttet, selvom deres opdatering blokerer den exploit, som blev brugt i juli-angrebene. I stedet har Oracle ifølge Bleeping Computer fejlagtigt listet exploit’en som en indikator for kompromittering (IOC) under en anden sårbarhed, EUVD-2025-32142 / CVE-2025-61882, som relaterer sig til en anden endpoint og blev udnyttet i august. 

Denne har en CVSS-score på 9,8 og en EPSS-score på 82,4 pct. Da vi omtalte sårbarhede på cert.dk første gang, var EPSS-score sat til 0,04 pct. 

Flere sikkerhedsfirmaer, herunder Mandiant, CrowdStrike og watchTowr Labs, har dokumenteret, at der er tale om to separate kampagner:

  • Juli: SSRF-angreb mod /configurator/UiServlet → EUVD-2025-33878 / CVE-2025-61884
  • August: Angreb mod /OA_HTML/SyncServlet → EUVD-2025-32142 / CVE-2025-61882 

Oracle E-Business Suite anvendes af flere større organisationer, som kan tage følgende læringspunkter med sig.  

  • SSRF-sårbarheder er ofte oversete, men kan være ekstremt farlige, især i systemer med adgang til interne ressourcer.
  • Manglende transparens fra leverandører kan forsinke respons og risikohåndtering.
  • Trusselsaktører genbruger og tilpasser exploits, hvilket kræver konstant overvågning og opdatering af sikkerhedspolitikker.

Følgende anbefales

  • Patch EUVD-2025-33878 / CVE-2025-61884 hurtigst muligt, hvis Oracle EBS anvendes.
  • Overvåg netværkstrafik for SSRF-indikatorer, især mod /configurator/UiServlet.
  • Gennemgå og opdater sikkerhedspolitikker for håndtering af leverandørsårbarheder og IOC’er.
  • Overvej segmentering af systemer med adgang til følsomme data for at minimere SSRF-risici.

Læs mere

Sårbarhed