Et kritisk Oracle EBS zero-day-sårbarhet som ble utnyttet i Clop-datatyveriangrep, er nå rettet. Feilen gjorde det mulig for hackere å kjøre kode eksternt og stjele sensitiv informasjon fra store organisasjoner. Oracle bekreftet at ransomwaregruppen Clop utnyttet sårbarheten før en oppdatering var tilgjengelig.
Forklaringen av Oracle EBS Zero-Day
Sårbarheten, registrert som CVE-2025-61882, påvirket Oracle E-Business Suite (EBS) versjonene 12.2.3 til 12.2.14.
Den ble funnet i BI Publisher Integration i komponenten Concurrent Processing. Feilen fikk en poengsum på 9,8 på CVSS-skalaen på grunn av enkel utnyttelse og risikoen for full systemkompromittering.
Oracle EBS zero-day gjorde det mulig for uautentiserte angripere å kjøre vilkårlige kommandoer på målrettede servere. Dette ga dem full kontroll over forretningsdata, konfigurasjoner og tilkoblede systemer.
Før patchen ble utgitt, sirkulerte et offentlig proof-of-concept exploit på nettet. Det økte presset på Oracle til å reagere raskt, ettersom flere angrep begynte å dukke opp globalt.
Clops angrepskampanje
Ransomwaregruppen Clop brukte zero-day-sårbarheten til å bryte seg inn i bedriftsnettverk og stjele store mengder data.
Ifølge Oracle utnyttet angriperne sårbarheten via et eksternt tilgangspunkt og injiserte skadelige kommandoer gjennom BI Publisher-grensesnittet.
Kampanjen startet i august 2025, da Clop begynte å true ofrene med datalekkasje dersom løsepenger ikke ble betalt. Flere selskaper bekreftet at stjålne arkiver inneholdt sensitiv finansiell informasjon.
Sikkerhetsforskere oppdaget aktivitet knyttet til IP-adressene 200.107.207.26 og 185.181.60.11. Angriperne brukte også reverse shell-kommandoer for å opprettholde tilgang og bevege seg lateralt i nettverkene.
Oracles respons og oppdatering
Oracle utga en nødpatch for Oracle EBS zero-day den 4. oktober 2025.
Selskapet advarte imidlertid om at brukere først må installere Critical Patch Update fra oktober 2023 før den nye oppdateringen.
Den nye patchen lukker sårbarheten for ekstern kodekjøring og innfører strengere validering av inndata for å hindre lignende angrep i fremtiden.
Oracle delte også indikatorer på kompromittering (IOCs), inkludert mistenkelige filnavn, exploitskript og IP-adresser knyttet til Clop-operasjoner. Organisasjoner anbefales å skanne sine miljøer for disse tegnene.
Tiltak for å redusere risiko
- Installer oppdateringer umiddelbart. Bruk oppdateringen for CVE-2025-61882 fra oktober 2025 etter oppdateringen fra 2023.
- Overvåk logger. Se etter uvanlige tilkoblinger fra kjente Clop-IP-adresser.
- Begrens ekstern tilgang. Reduser midlertidig internett-tilgang til EBS-instansene under oppdatering.
- Søk etter vedvarende trusler. Se etter uautoriserte jobber eller reverse shell-kommandoer.
- Sikkerhetskopier data. Oppretthold offline sikkerhetskopier for å beskytte mot datatyveri og ransomware.
Konklusjon
Oracle EBS zero-day-sårbarheten viser hvor raskt trusselaktører kan utnytte feil i bedriftsprogramvare.
Clops kampanje viser at selv forretningskritiske systemer kan bli hovedmål for datatyveri.
Organisasjoner må handle raskt – oppdatere sine EBS-miljøer, gjennomgå konfigurasjoner og overvåke aktivitet etter angrep.
Rask respons er den eneste måten å stoppe ringvirkningene av omfattende cyberangrep som dette.
0 responses to “Oracle EBS zero-day ble utnyttet i Clop-datatvitsløpsangrep og er nå fikset”