Skip to main content

NetCaptain

Kwetsbaarheid in Oracle E-Business Suite actief misbruikt

Een kritisch lek in Oracle E-Business Suite wordt actief uitgebuit, meldt monitoringsbedrijf Defused Cyber. De kwetsbaarheid, aangeduid als CVE-2026-46817 en met een CVSS-score van 9,8, stelt een niet-geverifieerde aanvaller met HTTP-toegang in staat controle te krijgen over Oracle Payments-componenten. Organisaties die deze modules gebruiken lopen het risico dat aanvallers volledige instances overnemen zonder geldige inloggegevens.
Oracle E Business suite

Beschrijving van het lek

Het probleem zit in het beheer van privileges en de authenticatielogica van Oracle Payments. Omdat het systeem geen juiste controles uitvoert voor gebruikers die via standaard HTTP-kanalen verzoeken indienen, kan een aanvaller bestaande beveiliging omzeilen en privileges verhogen. De kwetsbaarheid zit in alle versies van 12.2.3 tot en met 12.2.15, die nog veel worden gebruikt door bedrijven die Oracle’s geïntegreerde suite inzetten voor financiën, inkoop en andere bedrijfsprocessen.

Patchstatus

Oracle bracht in mei 2026 een patch uit als onderdeel van de Critical Security Patch Update. De update herstelt de fout in de afhandeling van privileges en brengt de beoogde authenticatiestroom terug. Organisaties met getroffen versies moeten controleren of de patch is geïnstalleerd om het aanvalsoppervlak van CVE-2026-46817 te verwijderen.

Actief misbruik

Defused Cyber meldde maandag dat zijn Oracle E-Business-honeypots het weekend ervoor succesvolle exploitpogingen registreerden. De aanvallers gebruikten alleen basis-netwerkverkeer en geen publieke proof-of-concept-code, wat erop wijst dat ze eigen scripts hebben ontwikkeld die zijn afgestemd op de doelconfiguratie. Er zijn nog geen details over de gebruikte methoden of de betrokken actoren, maar het ontbreken van een bekende PoC suggereert dat toegewijde tegenstanders aan het werk zijn in plaats van opportunistische bots.

Gerelateerde incidenten

De dreiging rond Oracle is de laatste maanden toegenomen. Een jaar eerder werd CVE-2025-61882 – eveneens in Oracle Payments – gebruikt door actoren die aan de Cl0p-ransomwaregroep worden gelinkt, met aanvallen sinds augustus 2025. Onlangs werd de PeopleSoft Suite getroffen door een ander zero-day-lek (CVE-2026-35273) dat ShinyHunters inzette voor datadiefstal en afpersing. Nissan bevestigde dat het via dit lek was binnengedrongen, waardoor loonadministratie en persoonsgegevens van werknemers in meerdere landen uitlekten.

Beveiligingsonderzoeker Jake Knott benadrukt de complexiteit van de huidige aanvallen: “Wat opviel is dat CVE-2026-35273 geen triviaal, met één verzoek te misbruiken lek is,” zei hij. “De aanvalsketen is veel complexer en combineert meerdere kwetsbaarheden om een kwaadaardig bestand te plaatsen dat pas actief wordt na een serverherstart.” Hij waarschuwt dat aanvallers sneller handelen dan ooit en raadt organisaties aan uit te gaan van een compromis totdat patchstatus en ongeautoriseerde activiteiten zijn gecontroleerd.

Gezien deze ontwikkelingen moeten organisaties met kwetsbare Oracle Payments-modules snel nagaan of patches zijn toegepast, logbestanden controleren op ongebruikelijke aanmeldpogingen en incident-responseprocedures starten bij tekenen van misbruik. Hoewel de exacte tactieken van de huidige aanvallers nog onbekend zijn, blijft het dichten van dit lek cruciaal voor de operationele veiligheid.

Deel dit artikel

LinkedIn
WhatsApp
X
Email
Facebook
Foto van Door John de Kroon

Door John de Kroon

John de Kroon is de CTO van NetCaptain. Met meer dan 15 jaar ervaring als Ethisch Hacker heeft hij de leiding over de ontwikkelings- en onderzoekstak binnen NetCaptain.

Vulnerability management - beveiliging en bescherming voor mkb

Vulnerability Management voor mkb: complete handleiding 2026

Vulnerability management is voor middelgrote Nederlandse bedrijven onontbeerlijk geworden. Cyberaanvallen nemen toe, de Europese NIS2-richtlijn verplicht steeds meer organisaties om kwetsbaarheden actief te beheren, en klanten verwachten dat je security serieus neemt. In deze handleiding lees je wat vulnerability management is, hoe je het opzet, en welke rol NetCaptain speelt

Lees verder »
Fortinet FortiClient

Actief misbruikt lek in FortiClient EMS steelt wachtwoorden

Een recent gepatchte kwetsbaarheid in FortiClient Endpoint Management Server (EMS) wordt momenteel actief misbruikt om malware te installeren die inloggegevens steelt op beheerde apparaten. FortiClient EMS is een tool waarmee netwerkbeheerders updates, beleidsregels en firmware kunnen uitrollen naar Windows-, macOS-, Linux-, Android- en iOS-endpoints vanuit één centraal console.

Lees verder »
NetCaptain Console access

NetCaptain Console

Na het opstarten van de NetCaptain appliance verschijnt de console-interface. Deze console is bedoeld voor basisbeheer en troubleshooting.

Lees verder »