En ny sårbarhet i Oracle E-Business Suite (EBS) har utlöst globala varningar från cybersäkerhetsmyndigheter. Hackare utnyttjar aktivt sårbarheten, som spåras som CVE-2025-61882, för att ta full kontroll över oskyddade system.
Sårbarheten påverkar flera versioner av Oracle EBS och gör det möjligt för angripare att köra fjärrkod utan autentisering. När de väl fått åtkomst kan de stjäla känslig data, kryptera system och inleda utpressningskampanjer.
Hur attacken fungerar
Sårbarheten finns i BI Publisher Integration-komponenten inom modulen Concurrent Processing. Angripare utnyttjar den genom att skicka manipulerade HTTP-förfrågningar som injicerar kod i sårbara servrar.
Processen ger cyberkriminella obegränsad kommandotillgång, vilket gör det möjligt att distribuera ransomware eller stjäla autentiseringsuppgifter. Forskare noterade också att attackkedjan använder server-side request forgery (SSRF) för att behålla åtkomst och kringgå upptäckt.
Eftersom attacken inte kräver autentisering är exponerade system särskilt sårbara. Säkerhetsexperter varnar dessutom för att även interna EBS-servrar kan komprometteras genom laterala rörelser inom nätverket.
Cl0p-gruppen bakom attackkampanjen
Cybersäkerhetsanalytiker har kopplat den aktiva exploateringen till den ökända Cl0p-ransomwaregruppen. Gruppen har enligt uppgifter riktat in sig på Oracle-kunder sedan augusti 2025, med fokus på företagsmiljöer där EBS-servrar är exponerade mot internet.
Cl0p använder stulen data för att pressa företag att betala lösensummor. Flera offer har mottagit utpressningsmejl där gruppen tar på sig ansvaret för intrånget och hotar att publicera de stulna filerna.
Omedelbara åtgärder krävs
Myndigheter uppmanar alla organisationer som använder Oracle EBS att omedelbart vidta följande åtgärder:
- Installera Oracles akutpatch för CVE-2025-61882 utan dröjsmål.
- Isolera publika EBS-servrar från externa nätverk.
- Övervaka åtkomstloggar efter misstänkta eller obehöriga förfrågningar.
- Utför forensisk analys för att upptäcka laterala rörelser.
- Uppdatera inloggningsuppgifter och aktivera MFA på alla administrativa konton.
Dessa åtgärder kan minska exponeringen och hjälpa till att identifiera pågående attacker i tid.
Slutsats
Oracle EBS-sårbarheten belyser den kritiska betydelsen av snabba säkerhetsuppdateringar i företagsmjukvara. Eftersom Cl0p-gruppen utnyttjar bristen i sina utpressningskampanjer måste organisationer agera omedelbart. Snabb patchning, nätverkssegmentering och kontinuerlig övervakning är avgörande för att begränsa riskerna och förhindra ytterligare intrång.
0 svar till ”Hackare utnyttjar kritisk Oracle EBS-sårbarhet för utpressning”