Badan Keamanan Siber dan Infrastruktur Amerika Serikat (CISA) baru-baru ini mengeluarkan peringatan mengenai celah keamanan yang ditemukan di Oracle E-Business Suite, yang kini tengah dieksploitasi oleh peretas. Celah tersebut diidentifikasi dengan kode CVE-2025-61884 dan telah ditambahkan ke dalam daftar Known Exploited Vulnerabilities (KEV) milik CISA.
Celah ini merupakan kerentanan bertipe unauthenticated server-side request forgery (SSRF) yang terdapat dalam komponen Oracle Configurator runtime. Laporan dari BleepingComputer mencatat bahwa celah ini pertama kali terkait dengan serangan siber yang terjadi pada Juli 2025. Menyusul konfirmasi dari CISA, seluruh lembaga federal di AS diwajibkan untuk segera menambal kerentanan ini paling lambat tanggal 10 November 2025.
Pada tanggal 11 Oktober, Oracle merilis informasi mengenai kerentanan ini dan menilai tingkat keparahannya pada skor 7,5, yang menunjukkan tingkat keparahan tinggi. Pihak Oracle memperingatkan bahwa celah ini dapat dengan mudah dimanfaatkan untuk memperoleh akses tidak sah ke data-data penting yang terdapat dalam sistem Oracle Configurator.
Walaupun Oracle tidak secara terbuka menyatakan bahwa celah ini telah dieksploitasi, pembaruan keamanan yang dirilis oleh mereka berhasil menutup celah yang sebelumnya diketahui digunakan oleh kelompok peretas seperti ShinyHunters dan Scattered Lapsus$. Peneliti keamanan siber Mandiant mengindikasikan bahwa kelompok ransomware Clop juga menggunakan celah ini untuk menyerang berbagai perusahaan, dengan klaim bahwa mereka berhasil mencuri data melalui celah zero-day.
Oracle merespons dengan menyatakan bahwa para pelaku sebenarnya mengeksploitasi celah yang lama namun sudah diperbaiki pada bulan Juli. Namun, hasil investigasi dari CrowdStrike dan Mandiant menunjukkan bahwa Oracle E-Business Suite pernah menjadi target dalam dua kampanye yang berbeda. Kampanye pertama terjadi pada bulan Juli, yang mana eksploitasi ditargetkan ke celah SSRF pada endpoint “/configurator/UiServlet”, yang kini dikonfirmasi sebagai CVE-2025-61884.
Sementara itu, kampanye kedua terjadi pada Agustus yang memanfaatkan celah lain dengan perbaikan yang diterbitkan melalui CVE-2025-61882. Perbaikan ini mengimplementasikan aturan mod_security guna memblokir akses ke endpoint yang bermasalah, yang juga dikaitkan dengan kelompok Clop. Peneliti dari watchTowr Labs menyatakan bahwa eksploitasi bocoran oleh ShinyHunters sebenarnya menargetkan rantai serangan SSRF di UiServlet, bukan di SyncServlet.
Dalam upaya penanganan, Oracle telah memperbaiki celah CVE-2025-61884 dengan menambahkan validasi terhadap parameter ‘return_url’ untuk mencegah manipulasi oleh penyerang. Apabila validasi ini gagal, maka permintaan otomatis akan diblokir. Kendati demikian, masih terdapat kebingungan terkait alasan Oracle mencantumkan eksploit ShinyHunters sebagai indikator serangan untuk CVE-2025-61882, sementara eksploitasi tersebut sesungguhnya lebih berkaitan dengan CVE-2025-61884.
Peringatan yang dikeluarkan oleh CISA dan penjelasan resmi dari Oracle memperlihatkan urgensi dalam menanggapi isu ini. Bagi perusahaan yang menggunakan Oracle E-Business Suite, menambal kerentanan ini menjadi perhatian utama untuk melindungi informasi sensitif dari kemungkinan eksploitasi lebih lanjut.
Situasi ini menggambarkan betapa pentingnya keamanan siber dalam era digital saat ini. Ancaman dari peretas semakin berkembang, dan kerentanan seperti CVE-2025-61884 menjadi pengingat bagi semua organisasi untuk memastikan sistem mereka terus diperbarui dan dilindungi dari potensi serangan yang dapat merugikan.
Source: teknologi.bisnis.com
