CrowdStrike el lunes dijo atribuye la explotación de una falla de seguridad recientemente revelada en Oracle E-Business Suite con una confianza moderada a un actor de amenazas al que rastrea como Araña elegante (también conocido como CL0p ), y que la primera explotación conocida ocurrió el 9 de agosto de 2025.
La explotación implica la explotación de CVE-2025-61882 (puntuación CVSS: 9,8), una vulnerabilidad crítica que facilita la ejecución remota de código sin autenticación.
La empresa de ciberseguridad también señaló que actualmente no se sabe cómo un canal de Telegram que «insinuaba» la colaboración entre Scattered Spider, LAPSUS$ (también conocido como Slippy Spider) y ShinyHunters obtuvo un exploit para solucionar la falla y si ellos y otros actores de amenazas lo han aprovechado en ataques en el mundo real.
Se ha observado que el canal Telegram comparte el supuesto exploit de Oracle EBS, al tiempo que critica las tácticas de Graceful Spider.
La actividad observada hasta ahora implica una solicitud HTTP a /OA_HTML/SyncServlet, lo que provoca una omisión de autenticación. A continuación, el atacante ataca el gestor de plantillas XML Publisher de Oracle enviando solicitudes GET y POST a /OA_HTML/RF.jsp y /OA_HTML/OA.jsp para cargar y ejecutar una plantilla XSLT malintencionada,
Los comandos de la plantilla maliciosa se ejecutan cuando se obtiene una vista previa, lo que genera una conexión saliente desde el proceso del servidor web Java a la infraestructura controlada por el atacante a través del puerto 443. Posteriormente, la conexión se utiliza para cargar web shells de forma remota a fin de ejecutar comandos y establecer la persistencia.
Se cree que uno o más actores de amenazas están en posesión del exploit CVE-2025-61882 con fines de exfiltración de datos.
«Es casi seguro que la divulgación de la prueba de concepto y la publicación del parche CVE-2025-61882 alentarán a los actores de amenazas, especialmente a los que están familiarizados con Oracle EBS, a crear POC convertidos en armas e intentar aprovecharlos contra las aplicaciones de EBS expuestas a Internet», afirma.
En otro análisis, WatchTowr Labs afirmó: «La cadena demuestra un alto nivel de habilidad y esfuerzo, con al menos cinco errores distintos orquestados juntos para lograr la ejecución remota de código preautenticado». La secuencia completa de eventos es la siguiente:
- Envíe una solicitud HTTP POST que contenga un XML creado a /OA_HTML/configurator/UIServlet para obligar al servidor backend a enviar solicitudes HTTP arbitrarias mediante un ataque de falsificación de solicitudes del lado del servidor (SSRF)
- Utilice una inyección Carriage Return/Line Feed (CRLF) para inyectar encabezados arbitrarios en la solicitud HTTP activada por la SSRF preautenticada
- Utilice esta vulnerabilidad para transferir solicitudes de contrabando a una aplicación de Oracle EBS expuesta a Internet a través de «apps.example.com:7201/oa_html/help/.. /ieshostedsurvey.jsp "y cargue una plantilla XSLT malintencionada
El ataque, en esencia, aprovecha el hecho de que el archivo JSP puede cargar una hoja de estilos que no es de confianza desde una URL remota, lo que abre la puerta a que un atacante pueda ejecutar código arbitrario.
«Esta combinación permite a un atacante controlar el encuadre de las solicitudes a través de la SSRF y, a continuación, reutilizar la misma conexión TCP para encadenar solicitudes adicionales, lo que aumenta la confiabilidad y reduce el ruido», dijo la empresa dijo . «Las conexiones HTTP persistentes, también conocidas como HTTP keep-alive o reutilización de conexiones, permiten que una sola conexión TCP transporte varios pares de solicitud/respuesta HTTP en lugar de abrir una nueva conexión para cada intercambio».
Desde entonces, CVE-2025-61882 ha sido adicional a las vulnerabilidades explotadas conocidas ( KEV ) de la Agencia de Ciberseguridad y Seguridad de la Infraestructura (CISA), señala que se ha utilizado en campañas de ransomware e insta a las agencias federales a aplicar las correcciones antes del 27 de octubre de 2025.
«Cl0p ha estado explotando múltiples vulnerabilidades en Oracle EBS desde al menos agosto de 2025, robando grandes cantidades de datos de varias víctimas y ha estado enviando correos electrónicos de extorsión a algunas de esas víctimas desde el lunes pasado», dijo Jake Knott, investigador principal de seguridad de WatchTowr, en un comunicado.
«Basándonos en las pruebas, creemos que se trata de una actividad del Cl0p y esperamos ver una explotación masiva e indiscriminada por parte de varios grupos en unos días. Si ejecuta Oracle EBS, esta es su alerta roja. Aplica parches de inmediato, caza de forma agresiva y refuerza tus controles con rapidez».