Sårbarheten CVE-2025-61882 i Oracle ble utnyttet av Cl0p-ransomwaregruppen flere måneder før Oracle slapp sin patch. Angriperne brukte skjult, filfri Java-skadevare for å trenge inn i Oracles E-Business Suite-systemer og starte en omfattende utpressingskampanje. Sikkerhetsforskere opplyser at operasjonen pågikk uoppdaget i flere måneder og utsatte virksomheter for betydelig risiko.
Hvordan Cl0p utnyttet zero-day-sårbarheten
Cl0p kombinerte flere sårbarheter – inkludert denne zero-day-feilen – for å oppnå fjernkjøring av kode i Oracle E-Business Suite-miljøer. Gruppen brukte et sett med filfrie Java-implantater kalt GOLDVEIN.JAVA, SAGEGIFT, SAGELEAF og SAGEWAVE. Disse verktøyene gjorde det mulig for angriperne å operere direkte fra minnet, uten å etterlate spor på harddisken.
Ifølge Google Threat Intelligence Group begynte Cl0p å utnytte sårbarheten allerede i juli 2025 – tre måneder før Oracle lanserte sin sikkerhetsoppdatering. Kampanjen rettet seg mot flere organisasjoner og blandet ondsinnet trafikk med legitim nettverksaktivitet for å unngå oppdagelse.
Omfanget og konsekvensene av angrepet
Cl0p hevder å ha fått tilgang til titalls organisasjoner gjennom Oracle zero-day-sårbarheten. Hackerne publiserte fillister fra kompromitterte EBS-systemer som bevis, og begynte å sende utpressingsmeldinger kort tid etter Oracles oppdatering i oktober.
Etterforskere mener angriperne sendte tusenvis av phishing-e-poster fra kaprede kontoer som tilhørte urelaterte virksomheter. Målet var å presse ofrene til å betale for å hindre datalekkasje.
Skjulte teknikker og omgåelsesmetoder
Cl0ps kampanje benyttet avanserte teknikker for å omgå tradisjonelle sikkerhetssystemer. Gruppen brukte minnebasert skadevare, domener med høy troverdighet, og dynamisk Java-eksekvering for å skjule tilstedeværelsen sin. Ved å operere uten å skrive filer til disk unngikk de både antivirusprogrammer og EDR-systemer.
Gruppen brukte også sitt lekkasjenettsted til å publisere stjålne data og øke presset på ofrene som nektet å betale løsepenger.
Oracles respons og oppdatering
Oracle utga en nødpatch 4. oktober 2025, som løste sårbarheten utnyttet i angrepene. Selskapet oppfordret alle kunder til å oppdatere umiddelbart og advarte om at forsinket patching kunne etterlate systemene sårbare.
Selv om Oracle har bekreftet sårbarheten, har selskapet ikke avslørt hvor lenge angriperne hadde tilgang eller hvor mange systemer som ble berørt.
Konsekvenser for cybersikkerhet
Kampanjen mot Oracle fremhever den økende trusselen fra pre-patch-utnyttelse, der aktører som Cl0p utnytter svakheter måneder før leverandører rekker å tette hullene.
Eksperter advarer om at selskaper må forbedre overvåkingen, oppdatere raskere og investere i minnebasert trusseldeteksjon. Tradisjonelle sikkerhetsløsninger alene er ikke nok til å beskytte mot denne typen stealth-angrep.
Konklusjon
Cl0ps utnyttelse av Oracle zero-day-sårbarheten viser hvordan moderne trusselaktører opererer med presisjon og tålmodighet. Ved å bruke filfri skadevare og sosial manipulering infiltrerte gruppen bedriftsmiljøer lenge før patchen ble tilgjengelig. Hendelsen understreker behovet for proaktiv deteksjon, rask respons og kontinuerlig årvåkenhet i cybersikkerhetsarbeidet.
0 svar til “Oracle zero-day ble utnyttet av Cl0p flere måneder før sikkerhetsoppdateringen”