Các đối tượng đe dọa đang tích cực khai thác CVE-2026-46817, một lỗ hổng chiếm quyền điều khiển từ xa không cần xác thực, nghiêm trọng trong Oracle E-Business Suite (EBS). Hoạt động tấn công thực tế đã được ghi nhận trên hạ tầng honeypot vào cuối tuần ngày 27-28 tháng 6 năm 2026.
Chi tiết về lỗ hổng CVE-2026-46817
CVE-2026-46817 là một lỗ hổng nghiêm trọng nằm trong sản phẩm Oracle Payments thuộc Oracle E-Business Suite, cụ thể là thành phần File Transmission. Lỗ hổng này có điểm CVSS 3.1 cơ bản là 9.8, cho phép kẻ tấn công không cần xác thực có quyền truy cập mạng qua HTTP chiếm quyền hoàn toàn hệ thống Oracle Payments, dẫn đến việc thỏa hiệp toàn bộ tính bảo mật (confidentiality), tính toàn vẹn (integrity) và tính sẵn sàng (availability).
Các phiên bản bị ảnh hưởng
Các phiên bản bị ảnh hưởng bao gồm Oracle E-Business Suite từ 12.2.3 đến 12.2.15. Vector CVSS phản ánh độ phức tạp tấn công thấp và không yêu cầu xác thực, khiến lỗ hổng này có thể bị khai thác dễ dàng trên quy mô lớn.
Khai thác trong thực tế
Vào cuối tuần ngày 27-28 tháng 6 năm 2026, việc khai thác CVE-2026-46817 đã được phát hiện trên các honeypot Oracle E-Business Suite. Đây là trường hợp khai thác đầu tiên được biết đến trong thực tế đối với lỗ hổng này. Hiện chưa có mã Proof-of-Concept (PoC) công khai, cho thấy kẻ tấn công có thể đang sử dụng các công cụ khai thác được phát triển riêng.
Dấu hiệu nhận biết tấn công (IOC)
Lưu lượng tấn công được ghi nhận trên các honeypot Defused cho thấy các yêu cầu POST nhắm mục tiêu đến /OA_HTML/ibytransmit, điểm cuối truyền tệp của Oracle iPayment.
- Địa chỉ IP tấn công: 45.84.137[.]125
- Nhà cung cấp dịch vụ: AS136787 PacketHub S.A. (Pháp)
- Cổng mục tiêu: 443
- Cấu trúc payload: Yêu cầu XML DeliveryRequest với tham số FULL_FILE_PATH được thiết lập thành
/etc/passwd. Đây là một dấu hiệu kinh điển của việc khai thác lỗ hổng path traversal để đọc tệp cục bộ và đánh cắp các tệp hệ thống nhạy cảm.
Phạm vi ảnh hưởng của cuộc tấn công mạng
Theo Shadowserver, vào ngày 28 tháng 6, có tổng cộng 456 lượt truy cập được ghi nhận trên tất cả các khu vực giám sát. Bắc Mỹ (193) và Châu Á (181) là những khu vực chịu ảnh hưởng lớn nhất. Châu Âu chiếm 53 lượt, Nam Mỹ 18, Châu Phi 9 và Châu Đại Dương 2.
Biện pháp khắc phục và vá lỗi
Oracle đã khắc phục CVE-2026-46817 trong bản cập nhật Critical Security Patch Update (CSPU) tháng 5 năm 2026, được phát hành vào ngày 28 tháng 5 năm 2026. Bản cập nhật này đã xử lý 35 CVE độc nhất trên nhiều dòng sản phẩm của Oracle, trong đó có 11 CVE được phân loại là nghiêm trọng.
Oracle đã khuyến cáo mạnh mẽ tất cả khách hàng áp dụng các bản vá ngay lập tức sau khi phát hành. Một bản CSPU bổ sung vào tháng 6 năm 2026 đã được phát hành vào ngày 16 tháng 6 năm 2026, củng cố thêm khuyến nghị của Oracle.
Oracle khuyến nghị các tổ chức chạy Oracle E-Business Suite cần hành động ngay lập tức:
- Áp dụng bản vá: Cập nhật các bản vá bảo mật mới nhất từ Oracle cho các phiên bản bị ảnh hưởng.
- Giám sát hệ thống: Tăng cường giám sát lưu lượng mạng và các bản ghi hệ thống để phát hiện sớm các hoạt động bất thường.
- Đánh giá cấu hình: Kiểm tra lại các cấu hình bảo mật của hệ thống Oracle EBS.
Do chưa có mã PoC công khai và sự xuất hiện của các công cụ khai thác riêng, các hệ thống Oracle EBS chưa được vá lỗi vẫn đối mặt với nguy cơ bị chiếm quyền kiểm soát toàn diện.
Để nâng cao khả năng phát hiện và điều tra mối đe dọa, việc tích hợp các giải pháp an ninh mạng là cần thiết. Tham khảo giải pháp tăng cường Trung tâm Điều hành An ninh (SOC) tại đây.
