Oracle, E-Business Suite platformunda yer alan kritik bir güvenlik açığının gerçek saldırılarda kullanılmaya başlandığına ilişkin yeni uyarılarla gündemde. Tehdit istihbaratı şirketi Defused, CVE-2026-46817 kimliğiyle izlenen açığın hafta sonundan itibaren aktif olarak hedef alındığını açıkladı. Oracle E-Business güvenlik açığı, kimlik doğrulaması gerektirmeden uzaktan sistem ele geçirilmesine izin verebildiği için kurumlar açısından kritik risk oluşturuyor.

Kimlik Doğrulaması Gerektirmeyen Açık Finans Sistemlerini Hedef Alıyor

CVE-2026-46817, Oracle E-Business Suite içerisinde yer alan Oracle Payments bileşeninin File Transmission modülünde bulunuyor. Güvenlik açığı, HTTP erişimine sahip saldırganların düşük karmaşıklıktaki yöntemlerle kimlik doğrulaması yapmadan savunmasız sistemlerin kontrolünü ele geçirebilmesine olanak tanıyor. CVSS 9.8 puanına sahip Oracle EBS zafiyeti, bu nedenle en yüksek risk grubunda değerlendiriliyor.

Oracle, güvenlik açığını Mayıs 2026 Kritik Güvenlik Güncellemesi kapsamında kapatmış ve müşterilerine yamaları gecikmeden yüklemeleri çağrısında bulunmuştu. Şirket, daha önce de yayımladığı açıklamalarda yayınlanmış güvenlik güncellemelerinin uygulanmaması nedeniyle saldırganların başarılı olabildiğini vurgulamıştı.

Defused araştırmacıları, hafta sonu boyunca kendi Oracle E-Business honeypot sistemlerinde açığın kullanıldığı saldırıları gözlemlediklerini açıkladı. Araştırmacılar, güvenlik açığı için kamuya açık herhangi bir kavram kanıtlama (PoC) kodunun bulunmadığını ve daha önce doğrulanmış bir saldırı kaydının da olmadığını belirtti. Buna rağmen saldırganların kısa sürede güvenlik açığını kullanmaya başlaması, kurumsal sistemlerin hızla hedef alınabildiğini gösteriyor. Oracle E-Business saldırıları, özellikle internete açık finans uygulamalarını kullanan kuruluşlar açısından yakından izleniyor.

İnternet güvenliği kuruluşu Shadowserver’ın verilerine göre dünya genelinde internete açık 450’den fazla Oracle E-Business Suite sistemi bulunuyor. Bunların yaklaşık 200’ü ABD’de yer alırken önemli bölümü Avrupa’da faaliyet gösteriyor. Ancak bu sistemlerin kaçında güvenlik güncellemesinin uygulandığı henüz bilinmiyor.

Oracle Ürünleri Son Dönemde Saldırganların Yakın Takibinde

Oracle ürünlerini hedef alan saldırılar son dönemde dikkat çekici biçimde arttı. Geçen yıl Clop fidye yazılımı grubu, Oracle E-Business Suite’teki farklı bir sıfır gün açığını kullanarak Harvard University, University of Pennsylvania, Dartmouth College, University of Phoenix, Washington Post, Logitech ile GlobalLogic gibi birçok kurumu hedef almıştı.

Son haftalarda ise ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Oracle WebLogic Server’da yıllar önce kapatılan bir güvenlik açığının yeniden saldırılarda kullanıldığını duyurdu. Ardından Oracle PeopleSoft platformundaki kritik bir uzaktan kod çalıştırma açığı da veri hırsızlığı operasyonlarında aktif olarak kullanılmaya başlandı. CISA kayıtlarına göre son yıllarda Oracle ürünlerinde bulunan 44 farklı güvenlik açığı gerçek saldırılarla ilişkilendirildi. Bunların 13’ü ise fidye yazılımı operasyonlarında kullanıldı.

Siber güvenlik uzmanları, internete açık Oracle sistemlerini yöneten kurumların güvenlik yamalarını gecikmeden yüklemesini, dış erişime açık servisleri düzenli olarak denetlemesini ve olağan dışı etkinlikleri sürekli izlemesini öneriyor. Özellikle Oracle Critical Patch Update, Oracle Payments güvenliği, Oracle WebLogic güvenlik açığı, CISA KEV kataloğu ile kurumsal uygulama güvenliği süreçlerinin birlikte yönetilmesi, benzer saldırılara karşı savunmayı güçlendirebiliyor.