Sårbarheten CVE-2025-61882 i Oracle utnyttjades av Cl0p ransomware-gruppen flera månader innan Oracle släppte sin patch. Angriparna använde dold, filfri Java-skadlig kod för att tränga in i Oracles E-Business Suite-system och starta en storskalig utpressningskampanj. Säkerhetsforskare uppger att attacken pågick oupptäckt i flera månader och utsatte organisationer för allvarliga risker.
Hur Cl0p utnyttjade zero-day-sårbarheten
Cl0p utnyttjade en kombination av sårbarheter – inklusive zero-day-felet – för att uppnå fjärrkörning av kod i Oracles E-Business Suite-miljöer. Gruppen använde en uppsättning filfria Java-implantat kända som GOLDVEIN.JAVA, SAGEGIFT, SAGELEAF och SAGEWAVE. Dessa verktyg gjorde det möjligt för angriparna att verka helt från minnet och därmed lämna nästan inga spår på hårddisken.
Enligt Google Threat Intelligence Group började Cl0p utnyttja sårbarheten redan i juli 2025 – tre månader innan Oracle släppte sin säkerhetsuppdatering. Kampanjen riktades mot flera organisationer och blandade skadlig trafik med legitim nätverksaktivitet för att undgå upptäckt.
Attackens omfattning och konsekvenser
Cl0p hävdar att de fått tillgång till dussintals organisationer via Oracle zero-day-sårbarheten. Hackarna publicerade fillistor från komprometterade EBS-system som bevis och började skicka utpressningsmejl kort efter Oracles patch i oktober.
Utredare tror att angriparna skickade tusentals phishing-mejl från kapade konton tillhörande orelaterade organisationer. Målet var att pressa offren att betala för att undvika dataläckor.
Dolda tekniker och undvikandemetoder
Cl0ps kampanj använde avancerade metoder för att kringgå traditionella säkerhetssystem. Gruppen utnyttjade minnesbaserad skadlig kod, domäner med hög trovärdighet och dynamisk Java-exekvering för att dölja sin närvaro. Genom att köra all kod direkt i minnet undvek de upptäckt från antivirusprogram och EDR-verktyg.
Gruppen publicerade även stulna filer på sin läckagesida för att öka pressen på offer som vägrade betala lösensummor.
Oracles svar och patchutgivning
Oracle släppte en nödpåläggspatch den 4 oktober 2025, som adresserade zero-day-sårbarheten som Cl0p utnyttjat. Företaget uppmanade alla kunder att uppdatera omedelbart och varnade för att fördröjd patchning kunde lämna systemen sårbara.
Även om Oracle bekräftade sårbarheten har företaget inte avslöjat hur länge angriparna hade tillgång till systemen eller hur många miljöer som påverkades.
Konsekvenser för cybersäkerhet
Kampanjen mot Oracle visar den växande utmaningen med pre-patch-exploatering – när hotaktörer utnyttjar sårbarheter långt innan leverantörerna släpper sina säkerhetsfixar.
Experter varnar för att företag måste förbättra sin övervakning, tillämpa patchar snabbare och investera i minnesbaserad hotdetektering. Traditionella skydd räcker inte längre mot denna typ av smygande och uthålliga attacker.
Slutsats
Cl0ps utnyttjande av Oracle zero-day-sårbarheten visar hur moderna hotaktörer agerar med precision och tålamod. Genom att använda filfri skadlig kod och social ingenjörskonst kunde Cl0p infiltrera företagsmiljöer långt innan patchen blev tillgänglig. Händelsen är en tydlig påminnelse om att effektiv cybersäkerhet kräver proaktiv detektion, snabb respons och ständig vaksamhet.
0 svar till ”Oracle zero-day utnyttjades av Cl0p flera månader före patchen”