Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) vừa bổ sung một lỗ hổng nghiêm trọng trong Oracle E-Business Suite vào danh mục Các lỗ hổng bị khai thác (KEV), sau khi phát hiện các bằng chứng cho thấy nó đang bị tin tặc chủ động tấn công. Lỗ hổng, được theo dõi với mã CVE-2025-61884, cho phép kẻ tấn công từ xa thực thi mã mà không cần xác thực.

Lỗ hổng CVE-2025-61884 là một lỗi Server-Side Request Forgery (SSRF), ảnh hưởng trực tiếp đến thành phần Runtime của Oracle Configurator trong bộ giải pháp Oracle E-Business Suite. Đây là phần mềm hoạch định nguồn lực doanh nghiệp (ERP) được triển khai rộng rãi.

Theo CISA, lỗ hổng này đặc biệt nguy hiểm vì nó cho phép kẻ tấn công từ xa khai thác mà không yêu cầu bất kỳ thông tin xác thực nào. Lỗi được phân loại là CWE-918, xảy ra khi ứng dụng không xác thực đúng cách các URL do người dùng cung cấp. Các nhà nghiên cứu bảo mật cảnh báo rằng tin tặc có thể lợi dụng lỗi này để vượt qua các biện pháp kiểm soát truy cập mạng, tương tác với các dịch vụ nội bộ và có khả năng trích xuất dữ liệu nhạy cảm từ các hệ thống backend.

Sau khi xác nhận các cuộc tấn công đang diễn ra, CISA đã bổ sung CVE-2025-61884 vào danh mục KEV vào ngày 20 tháng 10 năm 2025. Theo Chỉ thị Hoạt động Ràng buộc (BOD) 22-01, các cơ quan liên bang Hoa Kỳ phải áp dụng bản vá hoặc các biện pháp giảm thiểu do Oracle cung cấp trước ngày 10 tháng 11 năm 2025. Các tổ chức không thể khắc phục sự cố trong thời gian quy định được yêu cầu ngừng sử dụng sản phẩm bị ảnh hưởng.

Hiện CISA chưa xác nhận liệu lỗ hổng này có bị vũ khí hóa trong các chiến dịch ransomware hay không. Các tổ chức nên ưu tiên áp dụng ngay các bản vá do Oracle cung cấp, thực hiện network segmentation để hạn chế phạm vi khai thác, và giám sát các yêu cầu outbound đáng ngờ từ thành phần Oracle Configurator.