CISA a confirmat că un defect al Oracle E-Business Suite, urmărit ca CVE-2025-61884, este exploatat în atacuri, adăugându-l la catalogul său de Vulnerabilități Exploatate Cunoscute.
BleepingComputer a raportat anterior că CVE-2025-61884 este o vulnerabilitate de tip server-side request forgery (SSRF) neautentificată în componenta de runtime Oracle Configurator, care a fost legată de un exploit scurs folosit în atacurile din iulie.
Agenția de securitate cibernetică din SUA cere acum agențiilor federale să remedieze vulnerabilitatea de securitate până pe 10 noiembrie 2025.
Oracle a dezvăluit defectul pe 11 octombrie, acordându-i o notă de severitate de 7.5 și avertizând că este ușor de exploatat și ar putea fi folosit pentru a obține „acces neautorizat la date critice sau acces complet la toate datele accesibile ale Oracle Configurator”.
Însă, Oracle nu a dezvăluit că vulnerabilitatea a fost exploatată anterior, în ciuda faptului că BleepingComputer a confirmat că actualizarea blochează exploitul scurs de ShinyHunters și grupul de extorcare Scattered Lapsus$.
La începutul lui octombrie, Mandiant a dezvăluit că gruparea de ransomware Clop a început să trimită emailuri de extorcare către companii, pretinzând că au furat date din instanțele Oracle E-Business Suite folosind defecte zero-day.
Oracle a răspuns la această știre afirmând că actorii amenințării au exploatat defecte deja remediate dezvăluite în iulie.
Pe 3 octombrie, ShinyHunters a scurs un exploit Oracle pe Telegram, indicând că a fost folosit de Clop. A doua zi, Oracle a dezvăluit CVE-2025-61882, listând conceptul de probă scurs ca unul dintre indicatorii săi de compromis (IOCs).
Însă, investigațiile efectuate de CrowdStrike și Mandiant au relevat că Oracle EBS a fost vizat în două campanii diferite.
watchTowr Labs a publicat, de asemenea, o analiză a exploitului scurs de ShinyHunters, confirmând că acesta vizează lanțul de atac UiServlet SSRF și nu pe cel SyncServlet.
Oracle a dezvăluit CVE-2025-61884 pe 11 octombrie, dar nu a confirmat dacă a fost exploatat, în ciuda faptului că a remediat exploitul folosit în atacurile din iulie.
BleepingComputer a aflat că patch-ul pentru CVE-2025-61884 abordează defectul prin validarea unui „return_url” furnizat de atacator folosind o expresie regulată. Dacă validarea eșuează, cererea este blocată.
Până în prezent, rămâne neclar de ce Oracle a listat exploitul ShinyHunters ca un IOC pentru CVE-2025-61882, când de fapt este destinat CVE-2025-61884. Din păcate, Oracle nu a răspuns la emailurile BleepingComputer referitoare la IOC-ul incorect.
BleepingComputer a contactat din nou Oracle pentru a afla dacă acum vor marca defectul CVE-2025-61882 ca exploatat, dar nu a primit un răspuns la emailul nostru.
46% dintre mediile de lucru au avut parole sparte, aproape dublu față de 25% anul trecut.
Obțineți acum Raportul Picus Blue 2025 pentru o privire cuprinzătoare asupra unor alte constatări privind tendințele de prevenire, detectare și exfiltrare a datelor.
Oracle a remediat în tăcere exploitul zero-day scurs de ShinyHunters
Subsidiara American Airlines, Envoy, confirmă atacul de furt de date Oracle
Microsoft restricționează accesul în modul IE în Edge după atacuri zero-day
Oracle lansează un patch de urgență pentru un nou defect E-Business Suite
Clop a exploatat defectul zero-day Oracle pentru furt de date încă din august
Leave a Reply