En ny sårbarhed i Oracle E-Business Suite (EBS) har udløst globale advarsler fra cybersikkerhedsmyndigheder. Hackere udnytter aktivt fejlen, som spores som CVE-2025-61882, til at få fuld kontrol over upatchede systemer.
Sårbarheden påvirker flere versioner af Oracle EBS og gør det muligt for angribere at køre ekstern kode uden autentifikation. Når de først får adgang, kan de stjæle følsomme data, kryptere systemer og iværksætte afpresningskampagner.
Sådan fungerer angrebet
Fejlen findes i BI Publisher Integration-komponenten i modulet Concurrent Processing. Angriberne udnytter den ved at sende ondsindede HTTP-anmodninger, der injicerer kode i sårbare servere.
Processen giver cyberkriminelle ubegrænset kommandoadgang, hvilket gør det muligt at installere ransomware eller stjæle loginoplysninger. Forskere påpeger desuden, at angrebskæden anvender server-side request forgery (SSRF) for at bevare adgang og omgå detektion.
Da angrebet ikke kræver autentifikation, er eksponerede systemer særligt udsatte. Eksperter advarer desuden om, at selv interne EBS-servere kan kompromitteres gennem laterale bevægelser i netværket.
Cl0p-gruppen står bag kampagnen
Cybersikkerhedsanalytikere har knyttet den aktive udnyttelse til den berygtede Cl0p-ransomwaregruppe. Gruppen har ifølge rapporter rettet sig mod Oracle-kunder siden august 2025, særligt mod virksomheder med EBS-servere eksponeret mod internettet.
Cl0p bruger stjålne data til at presse virksomheder til at betale løsesummer. Flere ofre har modtaget afpresningsmails, hvor gruppen tager ansvar for angrebet og truer med at offentliggøre de stjålne filer.
Akut handling påkrævet
Myndighederne opfordrer alle organisationer, der anvender Oracle EBS, til straks at iværksætte følgende tiltag:
- Installer Oracles nødpatch for CVE-2025-61882 med det samme.
- Isolér offentligt tilgængelige EBS-servere fra eksterne netværk.
- Overvåg adgangslogs for mistænkelige eller uautoriserede anmodninger.
- Udfør forensiske analyser for at opdage laterale bevægelser.
- Opdater loginoplysninger, og aktiver MFA på alle administrative konti.
Disse foranstaltninger kan reducere eksponeringen og hjælpe med at opdage igangværende angreb.
Konklusion
Oracle EBS-sårbarheden understreger den kritiske betydning af hurtige sikkerhedsopdateringer i virksomhedssystemer. Da Cl0p-gruppen aktivt udnytter fejlen til afpresningsangreb, må organisationer reagere hurtigt. Hurtig patching, netværkssegmentering og løbende overvågning er afgørende for at begrænse risikoen og forhindre yderligere kompromittering.
0 svar til “Hackere udnytter kritisk Oracle EBS-sårbarhed til afpresning”