Oracle advierte sobre una vulnerabilidad Zero-Day crítica en E-Business Suite (CVSS 9,8), identificada como CVE-2025-61882, que permite a los atacantes ejecutar código remoto sin autenticación. Esta falla se explota activamente en ataques de robo de datos Clop.
La falla se encuentra en el producto Oracle Concurrent Processing de Oracle E-Business Suite (componente: BI Publisher Integration) y se da debido a su falta de autenticación y facilidad de explotación.
"Esta vulnerabilidad se puede explotar de forma remota sin autenticación; es decir, puede explotarse a través de una red sin necesidad de nombre de usuario ni contraseña. Si se explota con éxito, puede provocar la ejecución remota de código", explica la empresa.
Oracle ha confirmado que la vulnerabilidad afecta a Oracle E-Business Suite, versiones 12.2.3-12.2.14, y ha publicado una actualización de emergencia para solucionar el fallo. La compañía señala que los clientes deben instalar primero la actualización de parches críticos de octubre de 2023 antes de poder instalar las nuevas actualizaciones de seguridad.
Dado que existe un exploit PoC público y que el fallo se está explotando activamente, es crucial que los administradores de Oracle instalen la actualización de seguridad lo antes posible.
Vulnerabilidad explotada en ataques de robo de datos Clop
Si bien Oracle no ha declarado explícitamente que se trata de una vulnerabilidad de día cero, sí compartió indicadores de compromiso que corresponden a un exploit de Oracle EBS compartido recientemente por actores de amenazas en Telegram.
Charles Carmakal, director de tecnología de Mandiant - Google Cloud, también confirmó que esta fue la falla explotada por el grupo de ransomware Clop en los ataques de robo de datos ocurridos en agosto de 2025. "Clop explotó múltiples vulnerabilidades en Oracle EBS, lo que les permitió robar grandes cantidades de datos de varias víctimas en agosto de 2025", declaró Carmakal a BleepingComputer. "Se explotaron múltiples vulnerabilidades, incluyendo vulnerabilidades corregidas en la actualización de Oracle de julio de 2025, así como una corregida este fin de semana (CVE-2025-61882)", continuó Carmakal.
CVE-2025-61882 es una vulnerabilidad crítica que permite la ejecución remota de código no autenticado.
La noticia de la última campaña de extorsión de Clop se conoció por primera vez la semana pasada, cuando Mandiant y Google Threat Intelligence Group (GTIG) informaron que estaban rastreando una nueva campaña en la que varias empresas recibieron correos electrónicos que afirmaban ser de los actores de la amenaza.
Estos correos electrónicos afirmaban que Clop había robado datos de los sistemas Oracle E-Business Suite de la empresa y exigía un rescate para no filtrarlos. "Recientemente hemos vulnerado su aplicación Oracle E-Business Suite y copiado numerosos documentos. Todos los archivos privados y demás información se encuentran ahora en nuestros sistemas".
La banda de extorsión Clop tiene un largo historial de explotación de vulnerabilidades de día cero en ataques masivos de robo de datos. Sin embargo, Oracle vinculó inicialmente la campaña de extorsión de Clop con vulnerabilidades parcheadas en julio de 2025, en lugar de con el nuevo día cero que ahora sabemos que se utilizó en los ataques.
Oracle ha compartido indicadores de compromiso para la explotación de día cero, que incluyen dos direcciones IP detectadas explotando servidores, un comando para abrir un shell remoto y el archivo del exploit y los archivos asociados.
Exploit filtrado por cazadores de Lapsus$ de Scattered
Si bien Clop está detrás de los ataques de robo de datos y la explotación del día cero de Oracle, la noticia del día cero provino inicialmente de otro grupo de actores de amenazas que últimamente han generado titulares con sus ataques generalizados de robo de datos a clientes de Salesforce.
El viernes, estos actores, autodenominados "Scattered Lapsus$ Hunters", afirmando estar compuestos por actores de amenazas de Scattered Spider, Lapsus$ y ShinyHunters, filtraron dos archivos en Telegram que, según afirman, estaban relacionados con los ataques de Clop.
Un archivo llamado "GIFT_FROM_CL0P.7z" contiene código fuente de Oracle que, según los nombres de archivo, parece estar relacionado con "support.oracle.com".
Sin embargo, los actores de amenazas también publicaron un archivo comprimido "ORACLE_EBS_NDAY_EXPLOIT_POC_SCATTERED_LAPSUS_RETARD_CL0P_HUNTERS.zip", cuyo nombre insinuaron que era el exploit de Oracle E-Business utilizado por Clop.
BleepingComputer ha confirmado que se trata del mismo archivo que figura en los indicadores de vulnerabilidad de Oracle.
Este archivo contiene un archivo de instrucciones readme.md y dos scripts de Python llamados exp.py y server.py. Estos scripts de Python se utilizan para explotar una instancia vulnerable de Oracle E-Business Suite y ejecutar un comando arbitrario o abrir una shell inversa a los servidores del actor de amenazas. Como los IOC compartidos por Oracle incluyen el nombre del archivo del exploit compartido por Scattered Lapsus$ Hunters, se confirma que este es el exploit utilizado por el grupo de ransomware Clop.
Sin embargo, esto plantea interrogantes sobre cómo los actores de la amenaza Scattered Lapsus$ Hunters accedieron al exploit y si colaboran de alguna manera con Clop.
Fuente: BC