ABD merkezli teknoloji devi Oracle’ın kurumsal yazılım sistemlerine yönelik büyük çaplı bir siber saldırı, 2025’in en ciddi dijital tehditlerinden biri haline geldi. Google’ın ana şirketi Alphabet’e bağlı Tehdit İstihbarat Grubu (GTIG), Oracle E-Business Suite (EBS) sistemlerini hedef alan saldırının arkasında, daha önce fidye yazılım saldırılarıyla tanınan CL0P adlı hacker grubunun bulunduğunu açıkladı.
Google’ın siber güvenlik araştırmacısı Austin Larsen, Reuters’a yaptığı açıklamada saldırıdan 100’den fazla şirketin etkilenmiş olabileceğini belirtti. “Şu anda onlarca mağdurdan haberdarız, ancak sayının çok daha fazla olduğunu düşünüyoruz” diyen Larsen, saldırının aylar önce başlamış olabileceğine dikkat çekti.
Söz konusu saldırı, Oracle’ın müşteri yönetimi, finans, tedarik zinciri ve lojistik gibi kritik süreçleri barındıran kurumsal uygulama paketi E-Business Suite’i hedef aldı. GTIG’nin açıklamasına göre büyük miktarda müşteri verisi çalındı.
Uzmanlar, saldırının CVE-2025-61882 kodlu kritik bir güvenlik açığı üzerinden gerçekleştiğini belirtiyor. Bu açığın uzun süre fark edilmediği ve saldırganlar tarafından “sıfır gün” zafiyeti olarak kullanıldığı ifade ediliyor. Oracle, 2 Ekim 2025’te güvenlik açığını doğrulamış ve Temmuz ayına ait yama paketinin uygulanması çağrısında bulunmuştu. Ancak şirket, saldırıların yoğunlaşmasının ardından 4 Ekim’de acil bir güvenlik güncellemesi yayınlamak zorunda kaldı.
Cyber Press’in analizine göre, hackerlar bu açıklardan yararlanarak bir dizi karmaşık saldırı tekniği kullandı: SSRF (Sunucu Taraflı İstek Sahteciliği), CRLF enjeksiyonu, kimlik doğrulama atlatma ve XSL şablon enjeksiyonu gibi yöntemlerle EBS sunucularında uzaktan kod çalıştırma yetkisi elde edildi.
Saldırganlar 29 Eylül 2025’te başlattıkları büyük bir şantaj kampanyasıyla binlerce kurumsal yöneticiye fidye e-postaları gönderdi. Bu mesajlarda, hedef aldıkları şirketlerin Oracle EBS sistemlerinden çaldıkları verilere dair ayrıntılar ve dosya listeleri yer aldı. Kullanılan iletişim adreslerinin CL0P’un veri sızıntısı platformuyla bağlantılı olduğu da tespit edildi.
CL0P grubu iddialara doğrudan yanıt vermezken, daha önce Oracle’ın “temel ürünlerinde güvenlik açıkları bıraktığını” ima eden bir açıklama yapmıştı. Google ise saldırının, grubun geçmişteki üçüncü taraf hizmet sağlayıcılarına yönelik saldırılarına benzer bir örüntü izlediğini ve etkilerinin henüz tam olarak anlaşılmadığını vurguladı.
Yaşananlar, 2025 yılı içerisinde şimdiye kadarki en geniş kapsamlı kurumsal veri ihlallerinden biri olarak kayıtlara geçme potansiyeline sahip.
