Киберорганите по сигурността предупреждават организациите незабавно да инсталират спешните актуализации за критична zero-day уязвимост в Oracle E-Business Suite (EBS), която вече се използва активно от нападатели. Пропускът позволява на неавтентикирани извършители да изпълняват произволен код дистанционно, без нужда от достъп до потребителски акаунт.
Изнудване и кражба на корпоративни данни
През последната седмица се появиха сигнали за компрометирани клиенти на Oracle. Групировката Cl0p (известна с предишни атаки чрез MOVEit и Cleo) е изпратила изнудвачески имейли до редица компании, твърдейки, че е придобила чувствителни данни от техните инсталации на E-Business Suite.
Тази интегрирана система от бизнес приложения се използва широко за ключови дейности като финансово управление, планиране на ресурси, управление на веригите за доставки и човешки ресурси. Именно това я прави ценна цел за престъпните групи.
Критична уязвимост с оценка 9.8
На 4 октомври 2025 г. Oracle публикува спешни актуализации и издаде специален бюлетин за сигурност, след като по време на разследване е установено активно експлоатиране.
Уязвимостта, идентифицирана като CVE-2025-61882, е с почти максимална тежест – 9.8 от 10 по CVSS. Проблемът се намира в компонента BI Publisher Integration на продукта Oracle Concurrent Processing.
Според описанието в Националната база данни за уязвимости (NVD), уязвимостта позволява на нападател, който има достъп до мрежата чрез HTTP, да компрометира системата напълно. Атаката може да бъде извършена дистанционно, без необходимост от потребителско име и парола, и не изисква никакво взаимодействие с потребителя.
„Уязвимостта може да бъде експлоатирана през мрежата без идентификация. При успешна атака се постига дистанционно изпълнение на код,“ потвърди Oracle в своето съобщение.
Спешни предупреждения от киберорганите в Европа
Националният център за киберсигурност на Обединеното кралство (NCSC) издаде спешно предупреждение към организациите в страната, призовавайки ги да предприемат незабавни действия.
Подобна позиция зае и Федералната служба за информационна сигурност (BSI) в Германия, която публикува червен сигнал за критична уязвимост, уязвима към дистанционни атаки.
Масово експлоатиране на zero-day
Уязвимостта засяга всички версии на Oracle E-Business Suite от 12.2.3 до 12.2.14, като най-голям риск носят инстанциите, изложени в интернет.
Oracle категорично препоръчва клиентите незабавно да инсталират спешните обновления, включени в текущия Security Alert. Необходима е предварителна инсталация на Critical Patch Update от октомври 2023 г.
Бюлетинът съдържа IP адреси, описания на зловредни payload-и и други индикатори за компрометиране, наблюдавани в реални атаки.
Експертите: проверете дали вече не сте жертва
Главният технически директор на Mandiant (част от Google Cloud), Чарлз Кармакал, предупреди в публикация в LinkedIn за вече настъпила масова експлоатация на пропуска.
„Предвид широкото zero-day експлоатиране, което вече е факт (и вероятното n-day експлоатиране от други извършители), организациите трябва да проверят дали не са били компрометирани, независимо кога прилагат пача,“ подчерта експертът.
Познат извършител с дълга история
Групировката Cl0p стои зад десетки крупни инциденти през последните години. През 2023 г. тя компрометира стотици компании чрез уязвимостта в платформата MOVEit Transfer, а по-късно заплаши да публикува данни на 59 организации, засегнати от пробива в Cleo File Transfer.
Според разследванията, Cl0p вероятно е експлоатирала няколко пропуска в Oracle EBS още през август 2025 г., което е довело до изтичане на значителни обеми корпоративни данни.
„Cl0p изпраща изнудвачески имейли до редица жертви от миналия понеделник. Възможно е обаче все още да не са се свързали с всички засегнати,“ предупреждава Кармакал.
