Di awal Oktober 2025, dunia keamanan siber kembali dihadapkan pada sebuah kerentanan kritis yang mengejutkan banyak pihak: CVE‑2025‑61882 — sebuah zero-day remote code execution (RCE) unggulan yang menargetkan modul Concurrent Processing / BI Publisher Integration dari Oracle E-Business Suite (EBS) versi 12.2.3 hingga 12.2.14. Masalahnya bukan hanya teknis: kerentanan ini telah dieksploitasi di alam liar oleh aktor ancaman seperti Cl0p dan kelompok terkait dalam kampanye pemerasan dan pencurian data.
Namun, bersama dengan berita mengkhawatirkan tersebut muncul kabar baik untuk pelanggan Imperva: Imperva menyatakan bahwa pelanggan mereka — baik yang menggunakan Cloud WAF ataupun On-Premises WAF — telah mendapatkan perlindungan “out-of-the-box” terhadap eksploitasi ini. Artikel ini akan membahas detail kerentanan, bagaimana mekanisme eksploitasi bekerja, bagaimana Imperva menanggapi dan melindungi, serta implikasi bagi organisasi yang menggunakan Oracle EBS atau sistem legacy lainnya.
Bagaimana Kerentanan CVE-2025-61882 Bekerja
Menurut analisis yang diterbitkan oleh Imperva dan pihak lain, kerentanan ini bukan hanya satu bug sederhana — melainkan sebuah rantai eksploitasi multi-tahap. Tahapan utamanya adalah sebagai berikut:
-
Penyerang mengirimkan HTTP POST yang tak diautentikasi ke endpoint seperti
/OA_HTML/configurator/UiServlet, dengan payload XML yang menyertakanreturn_urlyang dikontrol penyerang. -
Parameter
return_urldipakai untuk memicu SSRF (Server Side Request Forgery) di mana sistem Oracle EBS melakukan outbound HTTP request ke server yang dikendalikan penyerang. -
Penyerang kemudian menggunakan injeksi header CRLF, reuse koneksi HTTP, dan manipulasi layanan HTTP lokal yang kurang terbatas.
-
Akhirnya, sebuah XSL stylesheet yang di-host oleh penyerang diproses oleh EBS, yang memanfaatkan mekanisme XSLT dan engine Java Script untuk menjalankan kode Java, misalnya
Runtime.exec(...), sehingga menghasilkan eksekusi kode arbitrer di server. -
Setelah masuk, penyerang bisa menjalankan shell reverse, drop web-shell, exfiltrate data, atau berpindah lateral di lingkungan korporasi.
Dengan CVSS v3.1 yang dicantumkan oleh Oracle sebagai 9.8 (Critical) untuk kerentanan ini, dan fakta bahwa eksploitasi aktif sudah berlangsung sejak Agustus 2025 oleh aktor seperti Cl0p, maka urgensi mitigasi menjadi sangat tinggi.
Respon Imperva & Perlindungan Pelanggan
Imperva menyatakan bahwa tim Threat Research Group mereka telah memantau dan mengidentifikasi rantai eksploitasi ini dan bahwa pelanggan Imperva yang menggunakan solusi WAF mereka telah “dilindungi” secara otomatis. Beberapa poin penting dari tindakan yang dilakukan Imperva:
-
Imperva menerapkan aturan WAF khusus yang menangkal pola serangan terkait CVE-2025-61882, termasuk payload SSRF, XSLT berbahaya, dan koneksi outbound abnormal.
-
Untuk pelanggan Cloud WAF atau On-Prem WAF Imperva, proteksi ini sudah aktif tanpa perlu tuning manual tambahan — artinya out-of-the-box.
-
Imperva juga mempublikasikan nilai pengamatan awal: lebih dari 557.000 upaya serangan terhadap kerentanan ini dalam satu hari, yang menyasar lebih dari 25 negara, dengan target utama di AS, Inggris, dan Prancis.
Dengan demikian, organisasi yang memakai solusi Imperva bisa mendapatkan “lapisan pertahanan ekstra” sambil menunggu patch vendor (Oracle) diimplementasikan secara lengkap.
Tindakan yang Harus Dilakukan Organisasi
Meskipun memakai WAF yang baik adalah langkah penting, Imperva dan pihak lain seperti Rapid7 serta Oracle sendiri menekankan bahwa tidak ada pengganti dari patch resmi. Berikut adalah langkah-langkah yang sangat dianjurkan:
-
Segera patch Oracle EBS versi 12.2.3-12.2.14 dengan update yang dirilis pada Security Alert Oracle.
-
Lakukan threat hunting dengan indikator kompromi (IOC) yang sudah dipublikasikan oleh Oracle dan badan keamanan lainnya: IP seperti
200.107.207.26,185.181.60.11; file sepertiexp.py,server.py,oracle_ebs_nday_exploit *.zip. -
Reduksi paparan sistem EBS ke internet: pastikan tidak tersedia endpoint EBS yang terbuka publik jika bisa dihindari, segmentasi jaringan dan kontrol akses.
-
Aktifkan monitoring runtime aplikasi untuk deteksi aktivitas abnormal seperti proses Java yang menjalankan shell, koneksi outbound tak biasa, XSLT yang ter-download secara anomali.
-
Jika menggunakan WAF atau Web Application Protection (seperti Imperva), pastikan aturan dan signature terbaru diterapkan secara real-time.
Implikasi & Pesan untuk Industri
Kerentanan ini menggarisbawahi beberapa tren penting dalam keamanan aplikasi enterprise:
-
Aplikasi ERP legacy tetap menjadi sasaran utama: Produk seperti Oracle EBS masih banyak digunakan di entitas besar dan menengah, dan kerentanan di dalamnya bisa memberikan akses ke data keuangan, HR, procurement — sehingga sangat bernilai bagi pelaku kejahatan.
-
Serangan aplikasi lapisan atas (application-layer) bergerak cepat: Eksploitasi mulai dari tahap aplikasi, bukan hanya dari endpoint atau network — ini menuntut pengamanan yang berbasis konteks aplikasi dan runtime.
-
Zero-day yang dieksploitasi sebelum patch dipublikasikan: Dalam kasus ini, eksploitasi sudah dilaporkan aktif sebelum patch tersedia secara luas. Tingginya kecepatan eksploitasi menuntut organisasi punya kesiapan yang tinggi.
-
Peran WAF dan solusi proteksi aplikasi menjadi krusial: Meski bukan pengganti patch, solusi seperti Imperva menunjukkan bahwa proteksi tambahan bisa memberi “jaring pengaman” tambahan saat patch belum diterapkan sepenuhnya.
Ringkasan & Kesimpulan
Kerentanan CVE-2025-61882 di Oracle EBS adalah ancaman nyata dengan potensi dampak besar. Namun, dengan adanya proteksi yang sudah aktif melalui Imperva WAF, organisasi yang telah menggunakan platform tersebut memiliki keunggulan dalam mitigasi risiko — meskipun tetap wajib untuk segera melakukan patching dan hardening sistem mereka sendiri.
Organisasi harus memandang proteksi sebagai kombinasi dari patch cepat, monitoring aktif, dan solusi proteksi yang tepat — bukan hanya bergantung kepada satu langkah saja. Kerentanan seperti ini juga menjadi pengingat bahwa aspek aplikasi — bukan hanya infrastruktur jaringan — adalah medan tempur utama saat ini.
Tabel Pendukung
| Aspek | Detail | Implikasi Untuk Organisasi |
|---|---|---|
| Versi Terpengaruh | Oracle EBS versi 12.2.3 s.d. 12.2.14 | Organisasi harus cek versi EBS yang mereka gunakan, dan segera patch jika termasuk rentan. |
| Skor CVSS | 9.8 (Critical) | Menunjukkan kerentanan ini sangat tinggi risikonya — prioritas mitigasi maksimal. |
| Eksploitasi Aktif | Lebih dari 557.000 upaya serangan dalam satu hari, lebih dari 25 negara | Paparan besar; jangan menunggu — risiko tinggi bahwa sistem publik akan diserang cepat. |
| Mekanisme Eksploitasi | SSRF → CRLF/header injection → XSLT dengan Java Runtime.exec → RCE | Menekankan bahwa rantai ini kompleks dan sulit dideteksi — perlu proteksi context‐aware. |
| Proteksi Imperva | WAF Imperva mengaktifkan aturan proteksi otomatis untuk pelanggan Cloud WAF/On-Prem | Organisasi yang sudah memakai Imperva punya keunggulan mitigasi cepat. |
| Rekomendasi Tindakan | Patch segera, monitoring runtime, segmentasi akses, threat-hunting IOC | Organisasi harus memiliki strategi tindakan multi-lapis, tidak hanya satu solusi. |
Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan Imperva Indonesia, Anda bisa mendapatkan solusi IT lengkap yang sesuai dengan kebutuhan Anda. iLogo Indonesia sebagai mitra terpercaya siap mengintegrasikan semuanya agar bisnis Anda tetap berjalan lancar dan aman.
Hubungi kami sekarang atau kunjungi imperva.ilogoindonesia.id untuk informasi lebih lanjut !
