محصولات Oracle یکی از پایهایترین اجزای زیرساخت فناوری اطلاعات در سازمانهای بزرگ، بانکها، صنایع حساس و نهادهای دولتی هستند. اهمیت این محصولات و گستردگی آنها موجب شده است که هرگونه ضعف امنیتی در اکوسیستم Oracle بتواند پیامدهای بسیار گسترده و مخربی ایجاد کند. در سالهای ۲۰۲۴ و ۲۰۲۵ حجم حملات، شدت سوءاستفاده و تعداد آسیبپذیریهای بحرانی مرتبط با Oracle بهشدت افزایش یافته است. این مقاله یک تحلیل جامع و پیشرفته از مهمترین آسیبپذیریها، نحوه عملکرد مهاجمان، مسیرهای نفوذ و همچنین راهکارهای دفاعی سازمانی ارائه میدهد.
Oracle سالهاست که در قلب زیرساخت داده و پردازش سازمانها قرار دارد. سیستمهایی مانند Oracle Database، Oracle E-Business Suite، Oracle Identity Manager و WebLogic جزء سرویسهایی هستند که هزاران فرآیند حیاتی سازمانها بر آنها تکیه دارد. در چنین ساختاری طبیعی است که مهاجمان سایبری بهخصوص گروههای باجافزاری و APT — Oracle را یک هدف با ارزش بسیار بالا در نظر بگیرند.
در سالهای اخیر، تغییراتی در مدل حملات سایبری مشاهده شده که Oracle را بیش از قبل در معرض تهدید قرار داده است. مهاجمان از حملات سنتی به سمت حملات هدفمند، زنجیرهای و مبتنی بر آسیبپذیریهای Zero-Day حرکت کردهاند. پیچیدگی معماری Oracle نیز باعث شده است که یک ضعف کوچک بتواند مسیر نفوذی گسترده ایجاد کند.
چشمانداز جدید تهدیدات و آسیبپذیریهای Oracle
تحلیل روند دو سال اخیر نشان میدهد که سه تحول مهم باعث افزایش قابل توجه خطرات شده است.
گسترش سطح حمله و پیچیدگی معماری
محصولات Oracle از دهها ماژول، سرویس و کامپوننت تشکیل شدهاند که از طریق API، وبسرویس، پایگاهداده و سرویسهای ابری با یکدیگر تعامل دارند. هر یک از این موارد میتواند یک نقطه نفوذ بالقوه باشد. افزون بر این، مهاجمان با مهندسی دقیق زنجیره حمله، تنها با نفوذ به یک مؤلفه میتوانند به عناصر مختلف زیرساخت Oracle دسترسی پیدا کنند.
افزایش حملات باجافزاری هدفمند
گروههایی مانند Cl0p ،LockBit و Black Basta Oracle را یکی از اهداف کلیدی حملات خود قرار دادهاند. دلیل این انتخاب روشن است: اگر مهاجم بتواند به Oracle دسترسی پیدا کند، به دادهها و فرآیندهای حیاتی سازمان دست یافته و میتواند خسارت بسیار بیشتری نسبت به نفوذ به یک سرور معمولی وارد کند.
انتشار سریع Exploit و PoC
در بسیاری از آسیبپذیریهای Oracle در سالهای اخیر مشاهده شده که بین انتشار Patch تا انتشار Exploit عمومی کمتر از ۲۴ تا ۷۲ ساعت فاصله وجود دارد. این سرعت بالا فرصت سازمانها برای اعمال Patch را به شدت محدود میکند و عملاً زمان واکنش را بسیار کوتاه میسازد.
آسیبپذیریهای بحرانی و پیامدهای آنها
در ادامه، تحلیل عمیقترین و مهمترین آسیبپذیریهای Oracle که در سالهای ۲۰۲۴ و ۲۰۲۵ منتشر شدهاند آورده شده است.
آسیبپذیری اجرای کد از راه دور در E-Business Suite
آسیبپذیری CVE-2025-61882 یکی از خطرناکترین موارد دو سال اخیر است. این ضعف در بخش Concurrent Processing کشف شد و به مهاجم اجازه میداد بدون داشتن هیچ نوع اعتبار کاربری، کد مخرب را روی سیستم اجرا کند. خطر بزرگ این آسیبپذیری در این است که EBS معمولاً در کنار دهها ماژول دیگر اجرا میشود و دسترسی به آن میتواند مهاجم را وارد قلب کسبوکار کند. حملات واقعی نشان دادند که مهاجمان از این ضعف برای استقرار Backdoor، دستکاری دادهها، ایجاد حسابهای ادمین و اجرای باجافزار استفاده کردهاند.
بیشتر بخوانید: بررسی ORACLE در VMWARE vSAN به عنوان یک مدل عملیاتی قدرتمند
آسیبپذیری افشای اطلاعات در EBS
CVE-2025-61884 امکان مشاهده دادههای داخلی سیستم را بدون نیاز به احراز هویت فراهم میکرد. این دادهها در بسیاری از موارد شامل فایلهای پیکربندی، Credentialهای ذخیرهشده و ساختار داخلی سیستم بودند. در حملات مشاهده شده، مهاجمان ابتدا با این ضعف اطلاعات مورد نیاز خود را جمعآوری کرده و سپس با استفاده از آسیبپذیریهای RCE حمله اصلی را اجرا کردهاند.
آسیبپذیری RCE در Oracle Identity Manager
OIM یکی از حساسترین سرویسهای Oracle است زیرا مدیریت تمام حسابهای کاربری سازمان را بر عهده دارد. آسیبپذیری CVE- 2025-61757 به مهاجم اجازه میداد بدون نیاز به Authentication کنترل کامل سیستم را به دست گیرد.
در سناریوهای واقعی مشاهده شد که مهاجمان با استفاده از این ضعف:
- حسابهای با امتیاز بالا ایجاد کردند
- نقشهای دسترسی سامانههای دیگر را تغییر دادند
- به سیستمهای متصل از طریق SSO دسترسی یافتند
این حمله میتواند یک سازمان را به طور کامل فلج کرده و امکان پاکسازی کامل آن بسیار دشوار باشد.
برای مشاوره رایگان و یا طراحی و اجرای زیرساخت شبکه و SDWAN با کارشناسان شرکت APK تماس بگیرید. |
چالشهای امنیتی پایگاهداده Oracle
در بهروزرسانیهای امنیتی ۲۰۲۵ ضعفهایی دیده میشود که به مهاجم اجازه میدهد بخشی از مکانیزمهای امنیتی مانند Data Redaction را دور بزند یا از Listener برای افشای اطلاعات استفاده کند. این ضعفها معمولاً در حملاتی که مهاجم به برخی دسترسیهای اولیه دست یافته بسیار خطرناک هستند و میتوانند منجر به سرقت و دستکاری داده شوند.
تهدیدات مداوم WebLogic
WebLogic به دلیل پیچیدگی و گستردگی همچنان یکی از آسیبپذیرترین سرویسهای Oracle است. آسیبپذیریهای RCE در این محصول بارها توسط botnetهایی مانند Mirai مورد سوءاستفاده قرار گرفتهاند و مهاجم تنها با یک ارتباط HTTP میتواند Shell روی سیستم ایجاد کند.
تحلیل پیشرفته مسیر حمله مهاجمان در سناریوهای واقعی Oracle
حملات موفق علیه محصولات Oracle معمولاً بهصورت مرحلهای، زنجیرهای و کاملاً مهندسیشده انجام میشوند. این حملات برخلاف حملات ساده، چندین لایه دارند و مهاجم تلاش میکند با کمترین نشانه و بیشترین اثربخشی وارد سیستم شود، دسترسی خود را تثبیت کند و در نهایت اهداف اصلی مانند سرقت داده یا اخاذی را انجام دهد. در ادامه هر مرحله با توضیحات بسیار کامل، رفتار مهاجم، ابزارهای مورد استفاده و نشانههای قابل مشاهده برای SOC ارائه شده است.
مرحله اول: شناسایی یا Reconnaissance
در این مرحله مهاجم میخواهد بفهمد کدام سرورها Oracle را اجرا میکنند و آیا نسخه آنها آسیبپذیر است یا خیر. این مرحله معمولاً قبل از هرگونه اقدام مستقیم انجام میشود و در بسیاری از موارد سازمان حتی نمیفهمد که هدف بررسی قرار گرفته است.
بیشتر بخوانید: بررسی Oracle Analytics Server
روشهای مورد استفاده مهاجمان
اسکن موتورهای جستوجوی اینترنتی:
ابزارهایی مانند Shodan، Censys و ZoomEye به مهاجم اجازه میدهند بدون اسکن فعال، وضعیت اینترنت را مشاهده کند. مهاجم معمولاً جستوجوهایی مانند:
- Oracle E-Business Suite – Port 8000 یا 8001
- Oracle WebLogic – Port 7001، 7002
- Oracle Identity Manager – Port 14000
- Oracle HTTP Server – Port 4443 یا 7777
انجام میدهد.
اسکن فعال یا Active Scanning
اگر مهاجم به هدف خاصی برسد، از ابزارهایی مانند Masscan ،Nmap و Amap برای شناسایی:
- نسخه دقیق WebLogic
- نسخه OIM
- ماژولهای EBS
- Plug-inهای فعال
- هدرهای HTTP
- الگوهای خطا
استفاده میکند.
چرا این مرحله خطرناک است؟
زیرا مهاجم بدون گذاشتن ردپای جدی، فهرستی از اهداف آسیبپذیر تهیه میکند و حمله اصلی تنها روی ماشینهایی انجام میشود که احتمال نفوذ در آنها نزدیک به ۱۰۰٪ است.
مرحله دوم: بهرهبرداری یا Exploitation
این مرحله جایی است که مهاجم آسیبپذیری را مورد سوءاستفاده قرار میدهد. در حملات Oracle معمولاً Exploit بدون نیاز به احراز هویت یاUnauthenticated اجرا میشود.
روشهای رایج بهرهبرداری
استفاده از Exploit آماده:
اکثر آسیبپذیریهای اخیر Oracle مانند CVE-2025-61882 و CVE-2025-61757 پس از انتشار Patch، خیلی سریع PoC عمومی پیدا کردهاند. مهاجم تنها با اجرای یک اسکریپت Python یا ارسال یک درخواست HTTP میتواند:
- کد دلخواه اجرا کند (RCE)
- فایلهای سیستم را بخواند
- به APIهای مدیریتی دسترسی پیدا کند
Payloadهای سفارشی:
گروههای حرفهای مانند Cl0p از Exploitهای اختصاصی استفاده میکنند که موارد زیر را انجام میدهد:
- ایجاد ارتباط Reverse Shell
- تزریق WebShell در مسیرهای EBS
- تغییر پیکربندی WebLogic
- دستکاری رشتههای XML یا Java deserialization
دلایل موفقیت این مرحله:
1. بسیاری از سرورهای Oracle مستقیماً روی اینترنت هستند.
۲. بسیاری از سازمانها Patch را دیر نصب میکنند.
3. پیچیدگی Oracle باعث میشود misconfiguration زیادی وجود داشته باشد و Exploit راحتتر اجرا شود.
مرحله سوم: تثبیت دسترسی یا Persistence & Privilege Escalation
این مرحله مهمترین بخش حمله است. مهاجم پس از ورود، تلاش میکند دسترسی خود را دائمی کند و حتی اگر سرور ریبوت شود یا اکانتها تغییر کنند، دسترسی خود را حفظ کند.
روشهای تثبیت دسترسی
نصب: WebShell
مهاجم با آپلود یک WebShell مانند:
- JSP WebShell
- Java-based backdoor
- AntSword-compatible shell
- WebLogic WAR file payload
یک نقطه کنترل دائمی ایجاد میکند.
ایجاد حساب با امتیاز بالا در OIM
این روش خطرناکترین نوع Persistence است.
مهاجم با OIM API یا محیط مدیریت، حسابهایی میسازد که:
- نام مشابه سیستم دارند مثلاً sys_backup یا oracle_update
- دارای نقشهای سطح بالا هستند
- در گروههای حساس مانند Administrators، Provisionals قرار میگیرند
چنین حسابهایی بهندرت شناسایی میشوند.
تغییر نقشها و مجوزها در سطح EBS یا OIM:
مهاجم مجوزهای جدید اضافه میکند تا در آینده قادر به انجام عملیات مخرب باشد.
استقرار Agentهای مخرب:
این Agentها میتوانند:
- دسترسی Remote ایجاد کنند
- دادهها را استخراج کنند
- در زمان خاص حمله را فعال کنند
- Commandهای C2 را اجرا کنند
بسیاری از گروهها از ابزارهایی مانند Cobalt Strike یا Sliver استفاده میکنند.
مرحله چهارم: حرکت جانبی داخل شبکه یا Lateral Movement
وقتی مهاجم وارد محیط Oracle شد، تلاش میکند از این نقطه به دیگر سامانهها نفوذ کند. دلیل این کار ساده است Oracle معمولاً به سیستمهای زیادی متصل است.
مسیرهای رایج حرکت جانبی
- استفاده از Credentialهای ذخیرهشده در EBS
- استفاده از نقشهای مدیریتی OIM برای نفوذ به SSO
- هدایت حمله از WebLogic به Oracle Database
- استفاده از Agentهای OIM برای دسترسی به سرویسهای AD و LDAP
- اجرای اسکریپت روی سرورهای Application و DB
در برخی حملات، مهاجمان توانستند تنها با یک نقطه ورود مثلاً WebLogic کل شبکه را آلوده کنند.
مرحله پنجم: سرقت داده یا Data Exfiltration
در حملات مدرن، هدف اصلی مهاجمان معمولاً سرقت داده است نه فقط رمزگذاری آن. دلیل این تغییر استراتژی:
- فشار روانی بر سازمان
- افزایش احتمال پرداخت باج
- امکان فروش داده در بازار سیاه
روشهای سرقت داده از Oracle
- استخراج جدولهای حساس از Oracle Database
- دانلود فایلهای Log و پیکربندی که حاوی رمزها هستند
- Pull کردن گزارشهای OIM و EBS
- سرقت Keyهای TDE یا Walletها
- انتقال داده رمزگذاریشده به سرورهای خارجی
مهاجمان معمولاً دادهها را بهصورت Chunk و با سرعت کم منتقل میکنند تا در لاگها مشخص نشود.
مرحله ششم: رمزرسانی، تخریب و اخاذی یا Ransom & Destruction
در نهایت مهاجم بسته به هدف، یکی از سه اقدام را انجام میدهد:
رمزگذاری دادهها
با اجرای باجافزار در لایه Application یا حتی Database، عملیات سازمان متوقف میشود.
تهدید به انتشار دادهها
این روش امروز رایجتر از رمزگذاری است.
مهاجم معمولاً میگوید:
حتی اگر Backup داشته باشید، دادههای شما را منتشر میکنیم
تخریب سیستم برای حذف ردپا
برخی گروهها اطلاعات سیستم را پاک میکنند تا شناسایی نشوند. حملات Oracle معمولاً سریع، دقیق، هدفمند و چندمرحلهای هستند. مهاجمان حرفهای از اشتباهات مدیریتی مانندPatch نکردن، پیچیدگی معماری Oracle و Misconfigurationها استفاده میکنند تا وارد سیستم شوند و سپس با ایجاد دسترسی دائمی، حرکت جانبی و سرقت داده، حمله را کامل میکنند.
