Eine kritische Oracle EBS Zero-Day-Schwachstelle, die bei Clop-Datendiebstahlangriffen ausgenutzt wurde, ist nun behoben. Die Sicherheitslücke ermöglichte es Hackern, Code aus der Ferne auszuführen und sensible Daten von großen Organisationen zu stehlen. Oracle bestätigte, dass die Ransomware-Gruppe Clop die Schwachstelle ausnutzte, bevor ein Patch verfügbar war.
Erklärung der Oracle EBS Zero-Day-Schwachstelle
Die Schwachstelle, registriert als CVE-2025-61882, betraf Oracle E-Business Suite (EBS) in den Versionen 12.2.3 bis 12.2.14.
Sie befand sich in der BI Publisher Integration innerhalb der Komponente Concurrent Processing. Aufgrund der einfachen Ausnutzung und der Möglichkeit einer vollständigen Systemübernahme erhielt sie einen CVSS-Score von 9,8.
Die Oracle EBS Zero-Day-Schwachstelle ermöglichte es nicht authentifizierten Angreifern, beliebige Befehle auf Zielservern auszuführen. Dadurch konnten sie vollständige Kontrolle über Geschäftsdaten, Konfigurationen und verbundene Systeme erlangen.
Vor der Veröffentlichung des Patches kursierte bereits ein öffentliches Proof-of-Concept-Exploit im Internet. Dies erhöhte den Druck auf Oracle, schnell zu reagieren, da weltweit weitere Angriffe gemeldet wurden.
Clops Angriffskampagne
Die Ransomware-Gruppe Clop nutzte die Zero-Day-Schwachstelle, um Unternehmensnetzwerke zu infiltrieren und große Mengen an Daten zu stehlen.
Laut Oracle nutzten die Angreifer die Schwachstelle über einen Remote-Zugangspunkt und führten schädliche Befehle über die BI-Publisher-Schnittstelle ein.
Die Kampagne begann im August 2025, als Clop begann, Opfer mit der Veröffentlichung gestohlener Daten zu bedrohen, falls keine Lösegeldzahlungen erfolgten. Mehrere Unternehmen bestätigten den Diebstahl sensibler Finanzinformationen.
Sicherheitsforscher entdeckten verdächtige Aktivitäten im Zusammenhang mit den IP-Adressen 200.107.207.26 und 185.181.60.11. Die Angreifer nutzten zudem Reverse-Shell-Befehle, um Zugriff zu behalten und sich seitlich in Netzwerken zu bewegen.
Oracles Reaktion und Patch
Oracle veröffentlichte am 4. Oktober 2025 einen Notfall-Patch für die Oracle EBS Zero-Day-Schwachstelle.
Das Unternehmen warnte jedoch, dass Benutzer zuerst das Critical Patch Update vom Oktober 2023 installieren müssen, bevor sie den neuen Patch anwenden.
Die Aktualisierung behebt die Remote-Code-Execution-Lücke und verbessert die Eingabevalidierung, um ähnliche Angriffe in Zukunft zu verhindern.
Oracle teilte außerdem Indikatoren für Kompromittierung (IOCs), darunter verdächtige Dateinamen, Exploit-Skripte und IP-Adressen, die mit Clop-Operationen in Verbindung stehen. Organisationen werden aufgefordert, ihre Systeme nach diesen Artefakten zu überprüfen.
Maßnahmen zur Risikominderung
- Patches sofort installieren. Wenden Sie das Update für CVE-2025-61882 aus Oktober 2025 nach dem 2023er Update an.
- Protokolle überwachen. Achten Sie auf ungewöhnliche Verbindungen von bekannten Clop-IP-Adressen.
- Externen Zugriff einschränken. Begrenzen Sie vorübergehend den Internetzugang zu EBS-Instanzen während der Aktualisierung.
- Nach Persistenz suchen. Überprüfen Sie Systeme auf unautorisierte Jobs oder Reverse-Shell-Befehle.
- Daten sichern. Halten Sie Offline-Backups bereit, um sich gegen Datendiebstahl und Ransomware zu schützen.
Fazit
Die Oracle EBS Zero-Day-Schwachstelle zeigt, wie schnell Bedrohungsakteure Unternehmenssoftware ausnutzen können.
Clops Angriff verdeutlicht, dass selbst geschäftskritische Systeme Hauptziele für Datendiebstahl werden können.
Unternehmen müssen schnell handeln – ihre EBS-Umgebungen patchen, Konfigurationen überprüfen und Aktivitäten nach Angriffen überwachen.
Nur eine schnelle Reaktion kann die weitreichenden Folgen von groß angelegten Cyberangriffen wie diesem eindämmen.
0 Kommentare zu „Oracle EBS Zero-Day wurde in Clop-Datenraubangriffen ausgenutzt und wurde jetzt gepatcht“