خلاصہ
Oracle E-Business Suite میں ایک سنگین کمزوری CVE-2025-61882 (CVSS 9.8) کو حقیقی دنیا میں حملوں کے لیے استعمال کیا جا رہا ہے۔ سیکیورٹی کمپنیوں CrowdStrike اور watchTowr کے مطابق Cl0p گروپ جسے Graceful Spider بھی کہا جاتا ہے، نے اس خامی کا استعمال کرتے ہوئے حملے شروع کیے ہیں۔ پہلا حملہ 9 اگست 2025 کو رپورٹ ہوا۔ اس کمزوری کے ایکسپلائٹ کو مختلف فورمز اور ٹیلیگرام چینلز پر بھی شیئر کیا جا رہا ہے۔ امریکی سائبر ایجنسی CISA نے اس خامی کو اپنی Known Exploited Vulnerabilities فہرست میں شامل کر کے فوری پیچ لگانے کی ہدایت کی ہے۔
حملے کا طریقہ کار
ماہرین کے مطابق حملہ آور ایک منظم اور مہارت سے بھرپور طریقے سے مختلف کمزوریوں کو ملا کر بغیر لاگ اِن کیے سسٹم پر مکمل کنٹرول حاصل کر لیتے ہیں۔ حملے کے مراحل کچھ یوں ہیں:
1.SSRF حملہ: ایک خاص XML فائل POST ریکویسٹ کے ذریعے /OA_HTML/configurator/UiServlet پر بھیجی جاتی ہے جس سے بیک اینڈ سرور کو مجبور کیا جاتا ہے کہ وہ کسی بھی ویب ایڈریس پر درخواست بھیجے۔
2.CRLF انجیکشن: حملہ آور HTTP ہیڈر میں اپنی مرضی کے ہیڈر شامل کرتا ہے تاکہ اگلی درخواستوں میں کنٹرول حاصل کر سکے۔
3.ریکویسٹ اسمگلنگ: حملہ آور سسٹم کے اندرونی Oracle EBS ایپلیکیشن پر جعلی درخواست بھیج کر /OA_HTML/help/../ieshostedsurvey.jsp جیسا راستہ استعمال کرتے ہوئے ایک نقصان دہ XSLT فائل لوڈ کرتا ہے۔
4.ٹیمپلیٹ مینیجر کا غلط استعمال: /OA_HTML/SyncServlet کے ذریعے لاگ اِن سیکیورٹی کو بائی پاس کیا جاتا ہے اور پھر /OA_HTML/RF.jsp اور /OA_HTML/OA.jsp پر جا کر ایک نقصان دہ XSLT ٹیمپلیٹ اپ لوڈ کیا جاتا ہے۔
5.کوڈ ایکزیکیوشن اور کنٹرول: جب یہ ٹیمپلیٹ “پری ویو” کیا جاتا ہے تو سسٹم باہر ایک حملہ آور کے سرور سے رابطہ کرتا ہے جس سے ویب شیل انسٹال ہو جاتا ہے اور حملہ آور کو مستقل کنٹرول حاصل ہو جاتا ہے۔
watchTowr کے مطابق اس حملے میں کم از کم پانچ مختلف کمزوریاں ایک ساتھ استعمال کی گئی ہیں جس سے یہ انتہائی خطرناک بن جاتا ہے۔ CrowdStrike نے اس حملے کو Cl0p گروپ سے منسلک کیا ہے اور خبردار کیا ہے کہ بہت جلد دیگر گروپس بھی یہی ایکسپلائٹ استعمال کریں گے۔
یہ کمزوری کیوں خطرناک ہے
•اس میں لاگ اِن کی ضرورت نہیں ہوتی یعنی حملہ بغیر تصدیق کے ممکن ہے۔
•ایکسپلائٹ کو بہت قابل اعتماد طریقے سے استعمال کیا جا سکتا ہے۔
•اس کا کوڈ پہلے ہی آن لائن دستیاب ہے جس سے نئے حملہ آور بھی آسانی سے فائدہ اٹھا سکتے ہیں۔
•اس کا تعلق ڈیٹا چوری اور تاوان طلب کرنے والے حملوں سے جوڑا جا رہا ہے۔
فوری اقدامات برائے Oracle EBS صارفین
1.فوراً پیچ لگائیں۔ Oracle کی جانب سے جاری کردہ اپ ڈیٹ کو جلد از جلد انسٹال کریں۔
2.انٹرنیٹ سے کنکشن محدود کریں۔ اگر آپ کا EBS سسٹم براہ راست انٹرنیٹ پر موجود ہے تو اسے فائر وال یا VPN کے ذریعے محفوظ کریں۔
3.شکایتی نشانات تلاش کریں:
•درج ذیل فائلوں پر آنے والی غیر معمولی HTTP درخواستیں چیک کریں: /OA_HTML/SyncServlet, /OA_HTML/RF.jsp, /OA_HTML/OA.jsp, /OA_HTML/configurator/UiServlet
•اگر POST ریکویسٹ کے ذریعے XML بھیجا جا رہا ہو تو خاص طور پر چیک کریں۔
•Java سرور کے غیر معمولی بیرونی کنکشنز کو نوٹ کریں خاص طور پر اگر وہ 443 پورٹ پر ہوں۔
•نئے یا غیر مانوس ٹیمپلیٹس یا فائلوں کی تخلیق چیک کریں۔
4.سسٹم مضبوط کریں:
•WAF یا فائر وال پر مخصوص اینڈ پوائنٹس بلاک کریں۔
•ایپلیکیشن سرور سے باہر جانے والے کنکشنز محدود کریں۔
•ایڈمن انٹرفیسز کے لیے VPN یا اضافی تصدیق کا نظام استعمال کریں۔
5.اکاؤنٹس ری سیٹ کریں: مشکوک سرگرمی کے بعد تمام ایڈمن پاس ورڈ تبدیل کریں۔
6.فارنزک جانچ: اگر سسٹم متاثر ہو چکا ہے تو فوری طور پر لاگز اور شواہد محفوظ کریں اور سیکیورٹی ٹیم سے رابطہ کریں۔
ممکنہ شواہد اور نشانات
•XML Publisher میں غیر معمولی ٹیمپلیٹس
•غیر معروف TLS کنکشنز
•HTTP ریکویسٹ ایک ہی کنکشن پر بار بار
•نئی یا مشکوک ویب شیل فائلز
ماہرین کی رائے
CrowdStrike نے کہا ہے کہ Cl0p گروپ (Graceful Spider) اس خامی کو استعمال کر رہا ہے اور پہلا حملہ 9 اگست 2025 کو ریکارڈ کیا گیا۔ ایک ٹیلیگرام چینل پر اس خامی کا ایکسپلائٹ شیئر کیا گیا ہے۔ watchTowr نے بتایا کہ یہ حملہ انتہائی پیچیدہ ہے اور ایک ہی چین میں کئی خامیاں استعمال کی گئی ہیں۔
ماہرین کا کہنا ہے کہ چونکہ اس خامی کے نمونے اور کوڈ پہلے ہی دستیاب ہیں اس لیے آنے والے دنوں میں دیگر گروپس کی جانب سے بڑے پیمانے پر حملے متوقع ہیں۔
طویل مدتی اقدامات
•اگر سسٹم متاثر ہو چکا ہے تو متاثرہ فائلیں حذف کر کے مکمل سسٹم صاف کریں اور صرف محفوظ بیک اپ سے بحالی کریں۔
•ایپلیکیشن کے غیر ضروری حصوں کو غیر فعال کریں۔
•لاگز اور نگرانی کے نظام کو مضبوط کریں تاکہ مستقبل میں فوری ردعمل ممکن ہو۔
نتیجہ
Oracle E-Business Suite استعمال کرنے والے تمام اداروں کے لیے یہ ایک ہنگامی وارننگ ہے۔ یہ خامی بغیر لاگ اِن کے ریموٹ کوڈ ایکزیکیوشن ممکن بناتی ہے، اس کا ایکسپلائٹ عام ہو چکا ہے اور Cl0p جیسے گروپس پہلے ہی اس کا فائدہ اٹھا رہے ہیں۔ فوراً پیچ لگائیں، سسٹم کو اسکین کریں اور حفاظتی اقدامات سخت کریں۔
سورس
https://thehackernews.com/2025/10/oracle-ebs-under-fire-as-cl0p-exploits.html?m=1
