Sårbarheten, spårad som CVE-2025-61882, påverkade Oracle E-Business Suite (EBS) versionerna 12.2.3 till 12.2.14.
Den hittades i BI Publisher Integration inom komponenten Concurrent Processing. Felet fick poängen 9,8 på CVSS-skalan på grund av sin enkelhet att utnyttja och risken för fullständig systemkompromettering.
Oracle EBS zero-day-sårbarheten gjorde det möjligt för obehöriga angripare att köra godtyckliga kommandon på målsystem. Detta gav dem full kontroll över affärsdata, konfigurationer och anslutna system.
Innan patchen släpptes cirkulerade ett offentligt proof-of-concept-exploit på nätet. Det ökade trycket på Oracle att agera snabbt, eftersom fler attacker började dyka upp globalt.
Clops attackkampanj
Ransomwaregruppen Clop använde zero-day-sårbarheten för att bryta sig in i företagsnätverk och stjäla enorma mängder data.
Enligt Oracle utnyttjade angriparna sårbarheten via en fjärråtkomstpunkt och injicerade skadliga kommandon genom BI Publisher-gränssnittet.
Kampanjen inleddes i augusti 2025, när Clop började hota offer med dataläckor om lösen inte betalades. Vissa företag bekräftade att stulna arkiv innehöll känslig finansiell information.
Säkerhetsforskare upptäckte relaterad aktivitet kopplad till IP-adresserna 200.107.207.26 och 185.181.60.11. Angriparna använde även så kallade reverse shell-kommandon för ihållande åtkomst och lateral rörelse inom nätverken.
Oracles åtgärder och patch
Oracle släppte en akut patch för Oracle EBS zero-day den 4 oktober 2025.
Företaget varnade dock användare för att de först måste installera Critical Patch Update från oktober 2023 innan den nya uppdateringen.
Patchen täpper till sårbarheten för fjärrkodsexekvering och inför starkare indatavalidering för att förhindra liknande attacker i framtiden.
Oracle delade även indikatorer på intrång (IOCs), inklusive misstänkta filnamn, exploit-skript och IP-adresser kopplade till Clop-operationer. Organisationer rekommenderas att skanna sina miljöer efter dessa tecken.
Åtgärder för att minska risk
- Patcha omedelbart. Installera uppdateringen för CVE-2025-61882 från oktober 2025 efter uppdateringen från 2023.
- Övervaka loggar. Kontrollera ovanliga anslutningar från kända Clop-IP-adresser.
- Begränsa extern åtkomst. Minska tillfälligt internetåtkomst till EBS-instanser under patchning.
- Skanna efter ihållande hot. Leta efter obehöriga jobb eller reverse shell-kommandon.
- Säkerhetskopiera data. Behåll offline-backuper för att skydda mot datastöld och ransomware.
Slutsats
Oracle EBS zero-day-sårbarheten visar hur snabbt hotaktörer kan utnyttja brister i företagsmjukvara.
Clops kampanj bevisar att även affärskritiska system kan bli huvudmål för datastöld.
Organisationer måste agera snabbt – patcha sina EBS-miljöer, granska konfigurationer och övervaka aktivitet efter attacker.
Snabbt agerande är det enda sättet att stoppa följdeffekterna av omfattande cyberintrång som detta.
0 svar till ”Oracle EBS zero-day utnyttjades i Clop-datastölsattacker och är nu åtgärdad”