Угрозы

Oracle E-Business Suite уже атакуют: в сети нашли около 950 открытых ERP-систем с критической уязвимостью на 9,8 баллов

Маша Даровская
By Маша Даровская , IT-редактор и автор
Oracle E-Business Suite уже атакуют: в сети нашли около 950 открытых ERP-систем с критической уязвимостью на 9,8 баллов
Обложка © Anonhaven

В сети нашли около 950 открытых экземпляров Oracle E-Business Suite — злоумышленники уже тестируют критическую уязвимость CVE-2026-46817. Проблема находится в Oracle Payments, компоненте File Transmission, и позволяет атакующему без учётной записи обратиться к системе по HTTP и скомпрометировать Oracle Payments. Оценка риска — 9,8 из 10 по CVSS.

Oracle закрыла уязвимость ещё в майском Critical Security Patch Update. В этом выпуске для Oracle E-Business Suite вышли 12 исправлений, три из них относятся к уязвимостям, которые можно использовать удалённо без аутентификации. Для CVE-2026-46817 в бюллетене указаны версии Oracle E-Business Suite 12.2.3–12.2.15, продукт Oracle Payments, компонент File Transmission, протокол HTTP и полный impact по конфиденциальности, целостности и доступности.

Oracle E-Business Suite — это н корпоративная ERP-платформа, где живут финансы, закупки, платежи, поставщики, заказы, HR-процессы и другие чувствительные бизнес-данные. 

Первые признаки эксплуатации зафиксировала компания Defused. Её приманки Oracle E-Business Suite поймали 27 июня шесть попыток неаутентифицированного чтения файлов из одного источника. Исследователи отметили: публичного proof-of-concept на тот момент не было, а раньше эксплуатацию этой CVE не фиксировали. Это значит, что кто-то уже работал с уязвимостью до того, как она стала массовым скриптом.

В captured-запросе, опубликованном в очищенном виде, видно обращение POST к /OA_HTML/… с XML-телом DeliveryRequest. Внутри передаётся параметр FULL_FILE_PATH, то есть атака выглядит как попытка заставить компонент доставки файлов прочитать путь, который ему читать не положено. Defused называет эту активность targeted proof-of-concept, а не широким интернет-сканированием.

Shadowserver сообщил, что отслеживает около 950 Oracle EBS-инстансов, доступных из интернета. Важно не перепутать две вещи: 950 — это число видимых снаружи экземпляров. Данных о том, сколько из них уже установили майский патч Oracle и закрыли CVE-2026-46817, публично нет.

Патч вышел 28 мая, первые атаки Defused увидела 27 июня. Между исправлением и эксплуатацией прошло примерно шесть недель.

CVE-2026-46817 выглядит как уязвимость с идеальным профилем для быстрой эксплуатации. Сетевой вектор, низкая сложность, не нужны права, не нужно действие пользователя. NVD описывает её как легко эксплуатируемую проблему в Oracle Payments, которая позволяет атакующему с сетевым доступом по HTTP скомпрометировать продукт.

В описании уязвимости также указаны CWE-269, CWE-287 и CWE-306 — неправильное управление привилегиями, ошибка аутентификации и отсутствие аутентификации для критической функции. Такая связка часто означает, что компонент доверяет запросу больше, чем должен, а проверка прав срабатывает поздно или не срабатывает там, где должна.

Oracle в майском бюллетене отдельно напоминает, что E-Business Suite зависит от компонентов Oracle Database и Oracle Fusion Middleware. Уязвимости в этих слоях тоже могут влиять на EBS, поэтому производитель рекомендует применять майский пакет исправлений не только к самой ERP, но и к базе данных и middleware-компонентам, которые используются в окружении E-Business Suite.

Поэтому важно проверить весь стек: EBS 12.2.3–12.2.15, Oracle Database, Fusion Middleware, доступность /OA_HTML/, внешние маршруты, интеграции с платёжными и файловыми компонентами, журналы HTTP-запросов и следы чтения нестандартных путей.

Есть новость? Станьте автором.

Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.