En kritisk Oracle EBS zero-day sårbarhed, som blev udnyttet i Clop-datatyveriangreb, er nu blevet rettet. Fejlen gjorde det muligt for hackere at køre kode eksternt og stjæle følsomme data fra store organisationer. Oracle bekræftede, at ransomwaregruppen Clop udnyttede sårbarheden, før en rettelse var tilgængelig.
Forklaring af Oracle EBS Zero-Day
Sårbarheden, der spores som CVE-2025-61882, påvirkede Oracle E-Business Suite (EBS) versionerne 12.2.3 til 12.2.14.
Den blev fundet i BI Publisher Integration i komponenten Concurrent Processing. Fejlen fik en score på 9,8 på CVSS-skalaen på grund af dens lette udnyttelse og risikoen for fuldstændig systemkompromittering.
Oracle EBS zero-day gjorde det muligt for uautoriserede angribere at køre vilkårlige kommandoer på målrettede servere. Det gav dem fuld kontrol over forretningsdata, konfigurationer og tilknyttede systemer.
Før patchen blev udgivet, cirkulerede et offentligt proof-of-concept exploit online. Det øgede presset på Oracle for at reagere hurtigt, da flere angreb begyndte at dukke op globalt.
Clops angrebskampagne
Ransomwaregruppen Clop brugte zero-day sårbarheden til at trænge ind i virksomheders netværk og stjæle store mængder data.
Ifølge Oracle udnyttede angriberne sårbarheden via et eksternt adgangspunkt og injicerede ondsindede kommandoer gennem BI Publisher-grænsefladen.
Kampagnen begyndte i august 2025, da Clop begyndte at true ofre med datalæk, medmindre løsepenge blev betalt. Flere virksomheder bekræftede, at stjålne arkiver indeholdt følsomme finansielle oplysninger.
Sikkerhedsforskere opdagede relateret aktivitet knyttet til IP-adresserne 200.107.207.26 og 185.181.60.11. Angriberne brugte også reverse shell-kommandoer for at bevare adgang og bevæge sig lateralt gennem netværket.
Oracles reaktion og patch
Oracle udgav en nødpatch til Oracle EBS zero-day den 4. oktober 2025.
Virksomheden advarede dog om, at brugere først skal installere Critical Patch Update fra oktober 2023, før de anvender den nye opdatering.
Den nye patch lukker sårbarheden for fjernkodekørsel og tilføjer stærkere inputvalidering for at forhindre lignende angreb i fremtiden.
Oracle delte også indikatorer på kompromittering (IOCs), herunder mistænkelige filnavne, exploitscripts og IP-adresser forbundet med Clop-operationer. Organisationer rådes til at scanne deres miljøer for disse tegn.
Sådan reduceres risikoen
- Installer patches med det samme. Anvend opdateringen for CVE-2025-61882 fra oktober 2025 efter opdateringen fra 2023.
- Overvåg logfiler. Se efter usædvanlige forbindelser fra kendte Clop-IP-adresser.
- Begræns ekstern adgang midlertidigt. Luk midlertidigt for internetadgang til EBS-instancer under opdateringen.
- Søg efter vedvarende trusler. Undersøg for uautoriserede jobs eller reverse shell-kommandoer.
- Tag sikkerhedskopier. Oprethold offline backups for at beskytte mod datatyveri og ransomware.
Konklusion
Oracle EBS zero-day sårbarheden viser, hvor hurtigt trusselsaktører kan udnytte fejl i virksomhedssystemer.
Clops kampagne viser, at selv forretningskritiske systemer kan blive hovedmål for datatyveri.
Organisationer skal handle hurtigt – opdatere deres EBS-miljøer, gennemgå konfigurationer og overvåge aktiviteter efter angreb.
Hurtig reaktion er den eneste måde at stoppe de omfattende konsekvenser af cyberangreb som dette.
0 svar til “Oracle EBS zero-day blev udnyttet i Clop-datatvindelangreb og er nu rettet”