Beschrijving van het lek
Het probleem zit in het beheer van privileges en de authenticatielogica van Oracle Payments. Omdat het systeem geen juiste controles uitvoert voor gebruikers die via standaard HTTP-kanalen verzoeken indienen, kan een aanvaller bestaande beveiliging omzeilen en privileges verhogen. De kwetsbaarheid zit in alle versies van 12.2.3 tot en met 12.2.15, die nog veel worden gebruikt door bedrijven die Oracle’s geïntegreerde suite inzetten voor financiën, inkoop en andere bedrijfsprocessen.
Patchstatus
Oracle bracht in mei 2026 een patch uit als onderdeel van de Critical Security Patch Update. De update herstelt de fout in de afhandeling van privileges en brengt de beoogde authenticatiestroom terug. Organisaties met getroffen versies moeten controleren of de patch is geïnstalleerd om het aanvalsoppervlak van CVE-2026-46817 te verwijderen.
Actief misbruik
Defused Cyber meldde maandag dat zijn Oracle E-Business-honeypots het weekend ervoor succesvolle exploitpogingen registreerden. De aanvallers gebruikten alleen basis-netwerkverkeer en geen publieke proof-of-concept-code, wat erop wijst dat ze eigen scripts hebben ontwikkeld die zijn afgestemd op de doelconfiguratie. Er zijn nog geen details over de gebruikte methoden of de betrokken actoren, maar het ontbreken van een bekende PoC suggereert dat toegewijde tegenstanders aan het werk zijn in plaats van opportunistische bots.
Gerelateerde incidenten
De dreiging rond Oracle is de laatste maanden toegenomen. Een jaar eerder werd CVE-2025-61882 – eveneens in Oracle Payments – gebruikt door actoren die aan de Cl0p-ransomwaregroep worden gelinkt, met aanvallen sinds augustus 2025. Onlangs werd de PeopleSoft Suite getroffen door een ander zero-day-lek (CVE-2026-35273) dat ShinyHunters inzette voor datadiefstal en afpersing. Nissan bevestigde dat het via dit lek was binnengedrongen, waardoor loonadministratie en persoonsgegevens van werknemers in meerdere landen uitlekten.
Beveiligingsonderzoeker Jake Knott benadrukt de complexiteit van de huidige aanvallen: “Wat opviel is dat CVE-2026-35273 geen triviaal, met één verzoek te misbruiken lek is,” zei hij. “De aanvalsketen is veel complexer en combineert meerdere kwetsbaarheden om een kwaadaardig bestand te plaatsen dat pas actief wordt na een serverherstart.” Hij waarschuwt dat aanvallers sneller handelen dan ooit en raadt organisaties aan uit te gaan van een compromis totdat patchstatus en ongeautoriseerde activiteiten zijn gecontroleerd.
Gezien deze ontwikkelingen moeten organisaties met kwetsbare Oracle Payments-modules snel nagaan of patches zijn toegepast, logbestanden controleren op ongebruikelijke aanmeldpogingen en incident-responseprocedures starten bij tekenen van misbruik. Hoewel de exacte tactieken van de huidige aanvallers nog onbekend zijn, blijft het dichten van dit lek cruciaal voor de operationele veiligheid.


