Oracle-lek wordt actief uitgebuit, patches verplicht voor 10 november
Overheidsinstanties in de VS krijgen tot 10 november 2025 de tijd om de noodzakelijke beveiligingsupdates te installeren. Opmerkelijk genoeg heeft Oracle zelf nog geen actieve exploitatie bevestigd, ondanks groeiend bewijs dat het lek al wordt gebruikt in aanvallen. De kwetsbaarheid, bekend als CVE-2025-61884, betreft een server-side request forgery (SSRF) in de Oracle Configurator runtime-component. De fout werd op 11 oktober al ontdekt en gepubliceerd, en kreeg een CVSS-score van 7,5. Ze kan zonder authenticatie worden misbruikt en biedt aanvallers mogelijk ongeautoriseerde toegang tot kritieke of volledige configurator-data.
Hoewel Oracle stelt dat het probleem inmiddels is verholpen, wijst CISA erop dat het lek al actief wordt uitgebuit. Het agentschap verplicht daarom Amerikaanse overheidsinstanties tot het installeren van de patch, om verdere incidenten te voorkomen.
Twee aanvalsgolven op Oracle
Onderzoekers van CrowdStrike en Mandiant identificeerden twee afzonderlijke aanvalscampagnes. In juli misbruikten criminelen een SSRF-lek in het ‘/configurator/UiServlet’-endpoint, dat nu officieel als CVE-2025-61884 is benoemd. Een tweede aanvalsgolf in augustus richtte zich op het ‘/OA_HTML/SyncServlet’-endpoint, later gepatcht als CVE-2025-61882. Die tweede kwetsbaarheid wordt in verband gebracht met de Clop-ransomwaregroep, die begin oktober bedrijven benaderde met dreigementen over gestolen data uit Oracle-omgevingen. De cloudspecialist reageerde toen dat de groep misbruik maakte van lekken die al in juli waren dichtgezet.
Verwarring rond exploits
De situatie werd nog complexer toen de hackersgroep ShinyHunters begin oktober een exploit voor Oracle-software op Telegram deelde. Oracle koppelde dat proof-of-concept aanvankelijk aan CVE-2025-61882, maar analyse door watchTowr Labs toonde aan dat de exploit in werkelijkheid het UiServlet-lek (CVE-2025-61884) misbruikt. Volgens onderzoek van BleepingComputer werkt Oracles patch door de ‘return_url’-parameter te controleren met een regular expression. Wanneer de validatie faalt, wordt het verzoek automatisch geblokkeerd. Toch blijft onduidelijk waarom Oracle de exploit verkeerd heeft toegewezen en waarom het bedrijf de actieve misbruikclaims niet officieel bevestigt.
Met de opname van CVE-2025-61884 op de CISA-waarschuwingslijst is de boodschap helder: organisaties die nog niet hebben gepatcht, doen er goed aan dat zo snel mogelijk te doen — nog vóór kwaadwillenden dat voor hen doen.
