Die Sicherheitslücke CVE-2025-61882 in Oracle wurde von der Cl0p-Ransomware-Gruppe bereits Monate vor Veröffentlichung eines Patches ausgenutzt. Die Angreifer setzten versteckte, dateilose Java-Malware ein, um in Oracles E-Business Suite einzudringen und eine groß angelegte Erpressungskampagne zu starten. Laut Sicherheitsexperten blieb die Operation über Monate unentdeckt und setzte zahlreiche Unternehmen erheblichen Risiken aus.
Wie Cl0p die Zero-Day-Schwachstelle ausnutzte
Cl0p kombinierte mehrere Schwachstellen – darunter diese Zero-Day-Lücke – um Remote Code Execution in Oracle-E-Business-Suite-Umgebungen zu erreichen. Die Gruppe verwendete eine Reihe dateiloser Java-Implantate mit den Bezeichnungen GOLDVEIN.JAVA, SAGEGIFT, SAGELEAF und SAGEWAVE. Diese Tools ermöglichten es den Angreifern, vollständig aus dem Arbeitsspeicher zu operieren und nahezu keine Spuren auf der Festplatte zu hinterlassen.
Laut der Google Threat Intelligence Group begann Cl0p bereits im Juli 2025 mit der Ausnutzung der Schwachstelle – drei Monate vor Oracles Sicherheitsupdate. Die Kampagne richtete sich gegen mehrere Organisationen und tarnte schädlichen Datenverkehr geschickt als legitime Netzwerkaktivität, um der Entdeckung zu entgehen.
Ausmaß und Folgen des Angriffs
Cl0p behauptet, über die Oracle-Zero-Day-Schwachstelle Zugriff auf Dutzende Organisationen erlangt zu haben. Die Hacker veröffentlichten Dateilisten kompromittierter EBS-Systeme als Beweis und begannen kurz nach der Veröffentlichung von Oracles Oktober-Patch mit dem Versand von Erpressungs-E-Mails.
Ermittler gehen davon aus, dass die Angreifer Tausende Phishing-E-Mails von kompromittierten Konten verschickten, die zu nicht verwandten Unternehmen gehörten. Ziel war es, die Opfer unter Druck zu setzen, um Datenlecks durch Zahlungen zu verhindern.
Tarntechniken und Umgehungsmethoden
Cl0ps Kampagne setzte auf ausgefeilte Techniken, um herkömmliche Sicherheitsmechanismen zu umgehen. Die Gruppe nutzte im Arbeitsspeicher residierende Malware, Domains mit hoher Reputation und dynamische Java-Ausführung, um ihre Präsenz zu verschleiern. Durch den Verzicht auf Dateien auf der Festplatte konnten Antivirenprogramme und EDR-Systeme umgangen werden.
Darüber hinaus nutzte Cl0p seine Leak-Seite, um gestohlene Daten zu veröffentlichen und den Druck auf Opfer zu erhöhen, die sich weigerten, Lösegeld zu zahlen.
Oracles Reaktion und Patch-Veröffentlichung
Oracle veröffentlichte am 4. Oktober 2025 ein Notfall-Update, das die von Cl0p ausgenutzte Zero-Day-Schwachstelle behob. Das Unternehmen forderte alle Kunden dringend auf, umgehend zu patchen, und warnte davor, dass verzögertes Handeln Systeme angreifbar lasse.
Obwohl Oracle die Schwachstelle bestätigte, gab das Unternehmen nicht bekannt, wie lange die Angreifer Zugriff hatten oder wie viele Systeme betroffen waren.
Folgen für die Cybersicherheit
Die Oracle-Zero-Day-Kampagne verdeutlicht die wachsende Bedrohung durch Pre-Patch-Exploitation – also Angriffe, bei denen Schwachstellen ausgenutzt werden, bevor Hersteller Sicherheitsupdates veröffentlichen.
Experten warnen, dass Unternehmen ihre Überwachung verbessern, Updates schneller einspielen und in speicherbasierte Bedrohungserkennung investieren müssen. Herkömmliche Sicherheitsmaßnahmen reichen gegen derart raffinierte und persistente Angriffe nicht mehr aus.
Fazit
Die Ausnutzung der Oracle-Zero-Day-Schwachstelle durch Cl0p zeigt, wie moderne Bedrohungsakteure mit Präzision und Geduld agieren. Durch den Einsatz dateiloser Malware und sozialer Manipulation konnte Cl0p Unternehmenssysteme kompromittieren, lange bevor ein Patch verfügbar war. Der Fall unterstreicht, dass effektive Cybersicherheit auf proaktive Erkennung, schnelle Reaktion und kontinuierliche Wachsamkeit angewiesen ist.
0 Kommentare zu „Oracle-Zero-Day wurde von Cl0p Monate vor dem Patch ausgenutzt“