Один неаутентифицированный HTTP-запрос способен открыть злоумышленнику полный доступ к корпоративной финансовой системе. Уязвимость в Oracle E-Business Suite (EBS) - платформе, используемой тысячами организаций для финансовых операций и управления ресурсами предприятия, - уже используется в реальных атаках. Проблема затрагивает компании из всех секторов, которые развернули EBS версий с 12.2.3 по 12.2.15.
Описание
Идентификатор уязвимости - CVE-2026-46817, базовая оценка CVSS v3.1 составляет 9,8 (критический уровень). Дефект обнаружен в компоненте File Transmission модуля Oracle Payments - подсистеме, отвечающей за обработку платежей через банки и платёжные сети. Злоумышленник, имеющий сетевой доступ по протоколу HTTP, может без какой-либо аутентификации захватить управление над Oracle Payments, что ведёт к полной компрометации всего экземпляра EBS. Природа уязвимости связана с некорректным управлением привилегиями (CWE-269) и недостаточной аутентификацией (CWE-287).
Специалисты компании Defused, занимающейся разведкой угроз, зафиксировали активную эксплуатацию в выходные 27-28 июня 2026 года. Атаки были направлены на ловушки (honeypots), эмулирующие работу Oracle EBS. Злоумышленники отправляли специально сформированный POST-запрос на конечную точку "/OA_HTML/ibytransmit". В теле запроса содержался XML-объект DeliveryRequest, который вызывал внутреннюю функцию Java напрямую, минуя проверки аутентификации. Судя по зафиксированным данным, атакующие использовали схему передачи "CODEX_PULL" с параметром "FULL_FILE_PATH", указывающим на файл "/etc/passwd". Это указывает на попытку локального чтения файлов (path traversal).
Согласно анализу компании Defused, источниками атак стал один IP-адрес (45.84.137[.]125, принадлежащий AS136787 PacketHub S.A., Франция). Примечательно, что эксплуатация началась до появления публичного доказательства концепции (PoC). Это свидетельствует о том, что злоумышленники использовали частные инструменты, возможно, разработанные на основе внутреннего анализа обновлений безопасности Oracle.
Oracle выпустила исправления для данной уязвимости в составе ежемесячного критического набора обновлений безопасности (Critical Security Patch Update) за май 2026 года. Компания настоятельно рекомендовала клиентам немедленно установить патч. Однако, несмотря на это, организация Shadowserver обнаружила более 450 экземпляров EBS, доступных из интернета, причём более половины из них находятся на территории Соединённых Штатов. Такое количество открытых систем делает уязвимость крайне опасной для финансовой инфраструктуры предприятий.
Потенциальные последствия эксплуатации не ограничиваются чтением "/etc/passwd". Злоумышленник может получить доступ к конфигурационным файлам, содержащим учётные данные баз данных, ключи шифрования, API-ключи платёжных процессоров и другую критическую информацию. В истории уже были случаи, когда группы вымогателей, такие как Clop, использовали дефекты Oracle EBS для проникновения в корпоративные сети и шифрования данных. Учитывая низкую сложность атаки и отсутствие необходимости в аутентификации, любой экземпляр EBS, доступный из интернета, становится привлекательной целью.
Организациям, использующим Oracle E-Business Suite, необходимо действовать незамедлительно. Первоочередная мера - установка майского набора обновлений безопасности Oracle. Если по каким-либо причинам установка патча невозможна, следует немедленно ограничить доступ к интерфейсам EBS из глобальной сети. Уязвимость эксплуатируется по HTTP, поэтому блокировка внешнего трафика к серверам EBS существенно снижает риск. Также рекомендуется добавить в чёрные списки выявленный IP-адрес и User-Agent, а также провести анализ журналов веб-сервера на предмет POST-запросов к конечной точке "/OA_HTML/ibytransmit".
В долгосрочной перспективе предприятиям стоит пересмотреть необходимость размещения компонентов EBS в открытом интернете. Многие функции финансовой системы могут работать только во внутренней сети предприятия. Регулярный аудит патчей, подписка на уведомления Oracle об уязвимостях и поддержание резервных копий конфигураций и финансовых данных помогут снизить последствия возможных инцидентов.
Текущая ситуация демонстрирует, что публикация исправления не гарантирует защиты, пока хотя бы один экземпляр системы остаётся незакрытым. Активная эксплуатация с использованием частных эксплойтов будет продолжаться, и любая задержка с установкой обновления превращает EBS в точку входа для злоумышленников.
Индикаторы компрометации
IPv4
- 45.84.137.125
User-Agent
- ibytransmit-lab-poc/1.0