TEKNOVYA

Teknoloji, İnovasyon ve Yapay Zeka Haberleri

Ana Sayfa/Siber Güvenlik
Siber Güvenlik6 dakika

Oracle E-Business Suite'teki Kritik Sıfırıncı Gün Açığı (CVE-2026-46817) Aktif Olarak İstismar Ediliyor

T
Teknovya
Siber Güvenlik Editörü
13 gün önce
Oracle E-Business Suite - Kritik Güvenlik Açığı

Oracle E-Business Suite - Kritik Güvenlik Açığı

Oracle E-Business Suite'teki Kritik Sıfırıncı Gün Açığı Aktif Olarak İstismar Ediliyor

Siber güvenlik dünyası, Oracle E-Business Suite (EBS) kullanıcılarını doğrudan ilgilendiren son derece kritik bir zafiyetle çalkalanıyor. CVE-2026-46817 kod adıyla takip edilen ve CVSS puanı 9.8 ile "kritik" seviyede değerlendirilen sıfırıncı gün açığı, Oracle Payments'ın File Transmission bileşeninde tespit edildi. Güvenlik araştırmacıları, açığın uzaktan kod çalıştırmaya (RCE) olanak tanıdığını ve kimlik doğrulama gerektirmediğini bildiriyor.

Tehdit istihbarat topluluğu Shadowserver tarafından yapılan tarama çalışmaları, internete açık durumda olan yaklaşık 950 Oracle E-Business Suite örneğinin bu zafiyetten etkilenebileceğini ortaya koydu. Bu örneklerin büyük bölümünü finans, perakende ve kamu sektörlerinde faaliyet gösteren kuruluşların sistemleri oluşturuyor. File Transmission bileşeni, özellikle ödeme süreçlerinde dosya aktarımı için yaygın biçimde kullanıldığından, potansiyel etki alanı oldukça geniş.

Hafta sonu itibarıyla siber güvenlik şirketi Defused, söz konusu açığın aktif olarak istismar edildiğini doğruladı. Araştırmacılar, saldırıların büyük ölçüde otomatik araçlarla gerçekleştirildiğini ve hedef sistemlerde arka kapı bileşenlerinin yerleştirilmeye çalışıldığını belirtiyor. Bu durum, zafiyetin yalnızca teorik bir risk olmadığını, sahada somut saldırılara dönüştüğünü net biçimde gözler önüne seriyor.

Oracle, söz konusu açığı Mayıs 2026 Kritik Yama Güncellemesi (Critical Patch Update - CPU) kapsamında ele almış ve bir güvenlik yaması yayımlamıştı. Ancak güncel raporlar, çok sayıda kuruluşun gerekli güncellemeleri henüz uygulamadığını ve sistemlerin savunmasız kalmaya devam ettiğini gösteriyor. Kurumsal ölçekli Oracle EBS dağıtımlarında yamaların uygulanması, genellikle uzun test süreçleri ve iş sürekliliği gereksinimleri nedeniyle haftalar, hatta aylar alabiliyor.

Sektör uzmanları, Oracle E-Business Suite müşterilerine acil olarak aşağıdaki adımları atmasını öneriyor:

Olay, bir kez daha kurumsal yazılımlardaki kritik zafiyetlerin ne denli hızlı biçimde silah haline gelebildiğini gözler önüne seriyor. Oracle gibi yaygın kullanılan kurumsal platformlardaki sıfırıncı gün açıkları, siber suç örgütlerinin yanı sıra devlet destekli aktörler için de cazip hedefler oluşturmaya devam edecek. Bu nedenle yama yönetimi süreçlerinin hızlandırılması ve savunma derinliği stratejilerinin güçlendirilmesi, her zamankinden daha kritik bir öneme sahip görünüyor.

Kaynaklar

#Oracle#Siber Güvenlik#Sıfırıncı Gün#CVE-2026-46817#Siber Saldırı

Yorumlar (0)

Henüz yorum yapılmamış.

Daha Fazlası: Siber Güvenlik