Oracle corrige falha crítica no E-Business Suite explorada pelo grupo hacker Cl0p

A Oracle emitiu um patch de emergência para corrigir uma falha de segurança crítica em seu software E-Business Suite (EBS), confirmando que a vulnerabilidade está sendo ativamente explorada pelo notório grupo hacker Cl0p em uma recente onda de ataques de roubo de dados. A medida de urgência reforça a gravidade da ameaça para milhares de organizações que utilizam o sistema de gestão empresarial da Oracle.

A vulnerabilidade em questão, rastreada como CVE-2025-61882, recebeu uma pontuação de 9.8 no CVSS, indicando um risco de segurança quase máximo. O bug não especificado permite que um invasor não autenticado, com acesso à rede via HTTP, comprometa e assuma o controle total do componente Oracle Concurrent Processing. Segundo a Oracle, "Esta vulnerabilidade pode ser explorada remotamente sem autenticação, ou seja, pode ser explorada em uma rede sem a necessidade de nome de usuário e senha," alertando para o potencial de Execução Remota de Código (RCE).

A decisão da Oracle de lançar uma atualização fora do ciclo padrão foi motivada pela exploração em ambiente real da falha. O diretor de segurança da empresa, Rob Duhart, afirmou que as correções visam fornecer proteção contra "possíveis explorações adicionais que foram descobertas durante nossa investigação," sinalizando a complexidade e amplitude da campanha.

As investigações apontam que o grupo hacker Cl0p tem sido o principal responsável, visando o Oracle EBS em uma "campanha de e-mail de alto volume," conforme relatado pela Mandiant (Google Cloud). Charles Carmakal, CTO da Mandiant, destacou que o Cl0p "explorou diversas vulnerabilidades no Oracle EBS, o que permitiu que eles roubassem grandes quantidades de dados de diversas vítimas em agosto de 2025."

O ataque utilizou múltiplas falhas, incluindo aquelas já corrigidas em julho de 2025, além do recém-corrigido CVE-2025-61882.

Além do Cl0p, foram compartilhados Indicadores de Comprometimento (IoCs) que sugerem o possível envolvimento de outro grupo hacker, o Scattered LAPSUS$ Hunters, na exploração da falha. Entre os IoCs divulgados, estão endereços IP e artefatos de scripts maliciosos que estabelecem conexões TCP de saída, indicando a tentativa de obter acesso reverso (reverse shell) ao sistema comprometido.

Diante da constatação de que a falha já foi amplamente explorada, o alerta de segurança vai além da simples aplicação do patch. Carmakal, da Mandiant, enfatizou que, "Dada a ampla exploração em massa de dia zero que já ocorreu... independentemente de quando o patch for aplicado, as organizações devem examinar se já foram comprometidas."

A correção do CVE-2025-61882 é essencial, mas não é a única medida. As organizações que utilizam o Oracle E-Business Suite devem proceder imediatamente à aplicação da atualização de emergência, bem como a uma análise forense detalhada de seus sistemas para identificar qualquer sinal de intrusão, roubo de dados ou instalação de backdoors remanescentes dos ataques do Cl0p e de outros hackers.

Via - THN