Sårbarheden CVE-2025-61882 i Oracle blev udnyttet af Cl0p-ransomwaregruppen flere måneder, før Oracle udgav sin sikkerhedsopdatering. Angriberne anvendte skjult, filfri Java-malware til at trænge ind i Oracles E-Business Suite-systemer og iværksætte en omfattende afpresningskampagne. Ifølge sikkerhedsforskere forblev angrebet uopdaget i flere måneder og udsatte organisationer for alvorlige risici.
Hvordan Cl0p udnyttede zero-day-sårbarheden
Cl0p udnyttede en kombination af sårbarheder – herunder denne zero-day – for at opnå fjernudførelse af kode i Oracle E-Business Suite-miljøer. Gruppen anvendte et sæt filfri Java-implantater kaldet GOLDVEIN.JAVA, SAGEGIFT, SAGELEAF og SAGEWAVE. Disse værktøjer gjorde det muligt for angriberne at operere direkte fra hukommelsen og efterlade næsten ingen spor på harddisken.
Ifølge Google Threat Intelligence Group begyndte Cl0p at udnytte sårbarheden allerede i juli 2025 – tre måneder før Oracle frigav sin patch. Kampagnen rettede sig mod flere organisationer og blandede ondsindet trafik med legitim netværksaktivitet for at undgå opdagelse.
Omfanget og konsekvenserne af angrebet
Cl0p hævder at have fået adgang til dusinvis af organisationer gennem Oracle zero-day-sårbarheden. Hackerne offentliggjorde fillister fra kompromitterede EBS-systemer som bevis og begyndte at sende afpresningsmails kort efter Oracles opdatering i oktober.
Efterforskere mener, at angriberne sendte tusindvis af phishing-e-mails fra kaprede konti, som tilhørte urelaterede virksomheder. Formålet var at presse ofrene til at betale for at undgå datalækager.
Skjulte teknikker og omgåelsesmetoder
Cl0ps kampagne benyttede avancerede teknikker til at omgå traditionelle sikkerhedssystemer. Gruppen anvendte hukommelsesbaseret malware, højreputerede domæner og dynamisk Java-eksekvering for at skjule deres aktiviteter. Ved at køre alt direkte fra hukommelsen undgik angriberne både antivirusprogrammer og EDR-løsninger.
Gruppen brugte desuden deres lækkeside til at offentliggøre stjålne data og øge presset på ofre, der nægtede at betale løsesum.
Oracles reaktion og udgivelse af patch
Oracle udgav en nødsikkerhedsopdatering den 4. oktober 2025, som rettede den zero-day-sårbarhed, Cl0p havde udnyttet. Virksomheden opfordrede alle kunder til at opdatere straks og advarede om, at forsinket patching kunne efterlade systemerne sårbare.
Selvom Oracle har bekræftet sårbarheden, har virksomheden ikke afsløret, hvor længe angriberne havde adgang, eller hvor mange systemer der blev påvirket.
Konsekvenser for cybersikkerheden
Angrebene på Oracle fremhæver den voksende trussel fra pre-patch-udnyttelse, hvor hackergrupper som Cl0p udnytter sårbarheder længe før leverandører når at frigive rettelser.
Eksperter advarer om, at virksomheder skal forbedre deres overvågning, implementere patcher hurtigere og investere i hukommelsesbaseret trusselsdetektion. Traditionelle sikkerhedsforanstaltninger er ikke længere tilstrækkelige mod denne form for skjulte og vedvarende angreb.
Konklusion
Cl0ps udnyttelse af Oracle zero-day-sårbarheden viser, hvordan moderne trusselsaktører arbejder med præcision og tålmodighed. Ved at bruge filfri malware og social engineering infiltrerede Cl0p virksomhedssystemer længe før opdateringen blev frigivet. Hændelsen understreger behovet for proaktiv overvågning, hurtig reaktion og konstant årvågenhed i cybersikkerhedsarbejdet.
0 svar til “Oracle zero-day blev udnyttet af Cl0p flere måneder før patchen”