Bisnis.com, JAKARTA — Badan Keamanan Siber dan Infrastruktur Amerika Serikat (CISA) mengonfirmasi celah keamanan pada Oracle E-Business Suite dengan kode CVE-2025-61884 tengah dieksploitasi oleh peretas.
Celah tersebut kini telah dimasukkan ke dalam daftar Known Exploited Vulnerabilities (KEV) milik CISA.
Menurut laporan BleepingComputer pada Rabu (22/10/2025), CVE-2025-61884 merupakan kerentanan unauthenticated server-side request forgery (SSRF) yang terdapat pada komponen Oracle Configurator runtime.
Celah ini sebelumnya dikaitkan dengan eksploitasi yang bocor dan digunakan dalam serangan siber pada Juli 2025. CISA kini mewajibkan seluruh lembaga federal AS untuk menambal kerentanan ini paling lambat pada 10 November 2025.
Oracle mengungkapkan kerentanan tersebut pada 11 Oktober dengan tingkat keparahan 7,5 (High) dan memperingatkan celah ini mudah dieksploitasi untuk memperoleh akses tidak sah ke data penting atau seluruh data yang dapat diakses melalui Oracle Configurator.
Kendati demikian, Oracle tidak secara terbuka menyebut kerentanan ini telah dieksploitasi, padahal pembaruan keamanan yang dirilis diketahui menutup eksploit yang sebelumnya bocor oleh kelompok peretas ShinyHunters dan Scattered Lapsus$.
Awal Oktober lalu, firma keamanan siber Mandiant mengungkap geng ransomware Clop telah mengirimkan email pemerasan ke berbagai perusahaan dengan mengklaim telah mencuri data dari sistem Oracle E-Business Suite menggunakan celah zero-day.
Oracle menanggapi laporan tersebut dengan menyatakan para pelaku memanfaatkan celah lama yang sebenarnya sudah diperbaiki sejak Juli. Namun, investigasi dari CrowdStrike dan Mandiant menunjukkan bahwa Oracle EBS sempat menjadi target dalam dua kampanye berbeda.
Kampanye pertama pada Juli menggunakan eksploit yang menargetkan celah SSRF di endpoint “/configurator/UiServlet”, yang kini dikonfirmasi sebagai CVE-2025-61884.
Sementara kampanye kedua pada Agustus memanfaatkan celah berbeda di endpoint “/OA_HTML/SyncServlet” dan diperbaiki lewat CVE-2025-61882 dengan penerapan aturan mod_security untuk memblokir akses ke endpoint tersebut. Eksploit ini dikaitkan dengan kelompok Clop.
Peneliti dari watchTowr Labs juga membenarkan eksploit bocoran ShinyHunters sebenarnya menargetkan rantai serangan SSRF di UiServlet, bukan di SyncServlet.
Dalam pembaruan terakhir, Oracle memperbaiki celah CVE-2025-61884 dengan menambahkan validasi terhadap parameter ‘return_url’ agar tidak dapat dimanipulasi oleh penyerang. Apabila validasi gagal, permintaan otomatis diblokir.
Meski demikian, masih ada kebingungan mengenai alasan Oracle mencantumkan eksploit ShinyHunters sebagai indikator serangan untuk CVE-2025-61882, padahal eksploit tersebut sebenarnya terkait dengan CVE-2025-61884. Hingga kini, Oracle belum menanggapi permintaan klarifikasi dari BleepingComputer mengenai kekeliruan tersebut.