Eine neue Schwachstelle in Oracle E-Business Suite (EBS) hat weltweite Warnungen von Cybersicherheitsbehörden ausgelöst. Hacker nutzen die Sicherheitslücke, die als CVE-2025-61882 bekannt ist, aktiv aus, um vollständige Kontrolle über ungepatchte Systeme zu erlangen.
Die Schwachstelle betrifft mehrere Versionen von Oracle EBS und ermöglicht es Angreifern, Remote-Code ohne Authentifizierung auszuführen. Nach erfolgreichem Zugriff können sie sensible Daten stehlen, Systeme verschlüsseln und Erpressungskampagnen starten.
So funktioniert der Angriff
Die Schwachstelle befindet sich in der BI-Publisher-Integration innerhalb des Moduls Concurrent Processing. Angreifer nutzen sie aus, indem sie bösartige HTTP-Anfragen senden, die Schadcode in verwundbare Server einschleusen.
Dieser Prozess verschafft Cyberkriminellen uneingeschränkten Befehlszugriff, wodurch sie Ransomware installieren oder Zugangsdaten stehlen können. Forscher stellten außerdem fest, dass die Angriffskette Server-Side-Request-Forgery (SSRF) nutzt, um den Zugriff aufrechtzuerhalten und Sicherheitsmechanismen zu umgehen.
Da für den Angriff keine Authentifizierung erforderlich ist, sind exponierte Systeme besonders gefährdet. Sicherheitsexperten warnen zudem, dass selbst interne EBS-Server durch laterale Bewegungen im Netzwerk kompromittiert werden könnten.
Cl0p-Gruppe hinter der Angriffskampagne
Cybersicherheitsanalysten haben die aktive Ausnutzung mit der berüchtigten Cl0p-Ransomware-Gruppe in Verbindung gebracht. Die Gruppe soll laut Berichten seit August 2025 gezielt Oracle-Kunden angreifen, insbesondere Unternehmen mit öffentlich zugänglichen EBS-Servern.
Cl0p nutzt gestohlene Daten, um Unternehmen zur Zahlung von Lösegeld zu drängen. Mehrere Opfer berichteten von Erpresser-E-Mails, in denen die Gruppe die Verantwortung für den Angriff übernimmt und mit der Veröffentlichung der gestohlenen Dateien droht.
Sofortige Maßnahmen erforderlich
Behörden fordern alle Organisationen, die Oracle EBS einsetzen, auf, unverzüglich folgende Schritte zu ergreifen:
- Installieren Sie Oracles Notfall-Patch für CVE-2025-61882 sofort.
- Isolieren Sie öffentlich zugängliche EBS-Server von externen Netzwerken.
- Überwachen Sie Zugriffsprotokolle auf verdächtige oder unautorisierte Anfragen.
- Führen Sie forensische Analysen durch, um laterale Bewegungen zu erkennen.
- Aktualisieren Sie Zugangsdaten und aktivieren Sie Mehrfaktor-Authentifizierung (MFA) für alle Administratorkonten.
Diese Maßnahmen können das Risiko einer Kompromittierung verringern und helfen, laufende Angriffe frühzeitig zu erkennen.
Fazit
Die Oracle-EBS-Schwachstelle verdeutlicht, wie entscheidend zeitnahe Sicherheits-Updates für Unternehmenssoftware sind. Da die Cl0p-Gruppe diese Lücke aktiv für Erpressungskampagnen ausnutzt, müssen Organisationen schnell handeln. Schnelles Patchen, Netzsegmentierung und kontinuierliches Monitoring sind unerlässlich, um das Risiko zu minimieren und weitere Angriffe zu verhindern.
0 Kommentare zu „Hacker nutzen kritische Oracle EBS-Schwachstelle für Erpressung aus“