-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512


   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

######################## UPDATE 1.02 #############################

Titel           : Kwetsbaarheid verholpen in Oracle E-Business Suite
Advisory ID     : NCSC-2025-0303
Versie          : 1.02
Kans            : high
CVE ID          : CVE-2025-61882
                  (Details over de kwetsbaarheden kunt u vinden op
                   de Mitre website: https://cve.mitre.org/cve/)
Schade          : high
                  Improper Authentication
                  Improper Limitation of a Pathname to a Restricted
                  Directory ('Path Traversal')
                  Inconsistent Interpretation of HTTP Requests ('HTTP
                  Request/Response Smuggling')
                  Improper Restriction of XML External Entity Reference
                  Server-Side Request Forgery (SSRF)
                  XML Injection (aka Blind XPath Injection)
                  Improper Neutralization of CRLF Sequences ('CRLF
                  Injection')
Uitgiftedatum   : 20251008
Toepassing      : Oracle Concurrent Processing
Versie(s)       :
Platform(s)     :

Update
   Aan dit beveiligingsadvies is een vermelding over grootschaliger
   misbruik toegevoegd. Tevens zijn aanvullende Indicators-of-Compromise
   (IOC's) toegevoegd. Lees het beveiligingsdavies voor meer informatie.

Beschrijving
   Oracle heeft een zeroday-kwetsbaarheid verholpen in Oracle E-Business
   Suite (specifiek voor de Concurrent Processing component in versies
   12.2.3 tot 12.2.14).

   De kwetsbaarheid bevindt zich in de Concurrent Processing component
   van Oracle E-Business Suite (EBS). Ongeauthenticeerde kwaadwillenden
   kunnen deze kwetsbaarheid misbruiken door malafide HTTP-verzoeken
   naar het kwetsbare systeem te versturen. Dit kan leiden tot ernstige
   risico's voor de vertrouwelijkheid, integriteit en beschikbaarheid
   van het systeem. De kwetsbaarheid heeft een CVSS-score van 9.8.
   Volgens berichtgeving van Oracle wordt de kwetsbaarheid actief
   misbruikt. Oracle heeft IOC's beschikbaar gesteld.
   Beveiligingsbedrijf Crowdstrike heeft aanvullende IOC's gedeeld.
   Het NCSC is bekend met exploitcode die in omloop is en waarmee de
   kwetsbaarheid kan worden misbruikt.
   Beveiligingsbedrijf Defuse meldt op X grootschaliger misbruik van de
   kwetsbaarheid waar te nemen. Het NCSC adviseert om de in dit
   beveiligingsadvies beschreven maatregelen zo spoedig mogelijk in te
   zetten en Oracle EBS-systemen op aanwezigheid van de beschikbare
   IOC's te controleren.

Mogelijke oplossingen
   Installeer de laatste beveiligingsupdates voor Oracle EBS. Op de
   website van Oracle vind je een overzicht van beschikbare
   beveiligingsupdates en meer informatie over de updates voor het
   verhelpen van CVE-2025-61882.
   Controleer je Oracle EBS-omgeving op aanwezigheid van de IOC's die
   door Oracle zijn gedeeld. De kwetsbaarheid werd namelijk al misbruikt
   voordat Oracle de beveiligingsupdates uitbracht. In het bijzonder
   organisaties wiens Oracle EBS-omgeving vanaf het internet
   toegankelijk is, lopen een verhoogd risico te zijn gecompromitteerd.
   Een overzicht van IOC's vind je in Oracle's advisory. Crowdstrike
   heeft daarnaast aanvullende IOC's gedeeld.
   Controleer je netwerklogs op aanwezigheid van de volgende
   indicatoren. Aanwezigheid kan duiden op misbruik van de
   kwetsbaarheid.
   - Binnenkomende POST-requests naar de Oracle EBS-server met het URL-
   pad '/OA_HTML/configurator/UiServlet' en/of '/OA_HTML/SyncServlet'.
   - Binnenkomende GET- en/of POST-requests naar '/OA_HTML/RF.jsp' en/of
   '/OA_HTML/OA.jsp'.
   - Binnenkomende GET- en/of POST-requests naar '/OA_HTML/help/' en/of
   '/OA_HTML/help/../ieshostedsurvey.jsp'. Dit duidt op de mogelijke
   aanwezigheid van een webshell.
   - Binnenkomende en uitgaande GET-requests met 'xsl' in het pad. Dit
   duidt mogelijk op het downloaden van een malafide xsl-bestand. Een
   voorbeeld van zo'n pad is '/OA_HTML/OA.jsp?page=/oracle/apps/xdo/oa/t
   emplate/webui/TemplatePreviewPG&TemplateCode=TMPf2b9b7f8527ad5f5&Temp
   lateType=XSL-TEXT'.
   - Uitgaande TCP-verbindingen vanaf je Oracle EBS-server naar
   onbekende ip-adressen op niet-standaard poorten. Dit wijst mogelijk
   op misbruik van een reverse shell.
   Controleer je Oracle EBS-server ook op aanwezigheid van de volgende
   indicatoren. Aanwezigheid kan duiden op misbruik van de
   kwetsbaarheid.
   - Verdachte subprocessen onder het primaire Oracle EBS Java-proces.
   Controleer of het primaire Java-proces een shell als subproces
   genereert.
   - De uitvoer van verdachte shell-commando's. Op Linux zijn dit
   bijvoorbeeld 'sh -c', 'bash -i' en commando's die refereren naar
   '/dev/tcp/'. Op Windows gaat het bijvoorbeeld om 'cmd /c' en
   'powershell.exe' met encoded commando's.
   - Aanwezigheid van het bestand 'Log4jConfigQpgsubFilter.java' met de
   hash dfaed679bda45b73689559a8eba8633b. Dit is een backdoor die door
   de actor wordt geplaatst.

   Referenties:
      Reference
      https://www.crowdstrike.com/en-us/blog/crowdstrike-identifies-
      campaign-targeting-oracle-e-business-suite-zero-day-
      CVE-2025-61882/

      Reference
      https://www.oracle.com/security-alerts/alert-cve-2025-61882.html

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.
-----BEGIN PGP SIGNATURE-----
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=fXRw
-----END PGP SIGNATURE-----