Oracle corrige vulnerabilidade crítica no E-Business Suite silenciosamente

16 de Outubro de 2025

A Oracle corrigiu silenciosamente uma vulnerabilidade no Oracle E-Business Suite ( CVE-2025-61884 ) que estava sendo explorada ativamente para comprometer servidores.

A falha ganhou destaque após o grupo de extorsão ShinyHunters vazar publicamente um exploit proof-of-concept (PoC).

A correção foi distribuída por meio de uma atualização de segurança fora do ciclo regular, liberada no último final de semana.

Segundo a Oracle, a vulnerabilidade permitia acesso a “recursos sensíveis” sem necessidade de autenticação.

“Este alerta de segurança trata da vulnerabilidade CVE-2025-61884 no Oracle E-Business Suite”, afirma o comunicado oficial da empresa.

“Esta falha pode ser explorada remotamente, sem autenticação, ou seja, via rede, sem necessidade de usuário e senha. Se explorada com sucesso, pode permitir acesso a recursos sensíveis.”

No entanto, a Oracle não divulgou que a vulnerabilidade estava sendo usada em ataques reais, tampouco que o exploit havia sido tornado público.

Diversos pesquisadores, clientes e a própria equipe do BleepingComputer confirmaram que a atualização para a CVE-2025-61884 corrigiu a falha do tipo Server-Side Request Forgery (SSRF), utilizada no exploit vazado, permitindo execução pré-autenticação.

Tentativas de contato do BleepingComputer com a Oracle foram feitas mais de seis vezes para comentar sobre a atualização e a falta de transparência quanto à exploração ativa, mas ou não houve resposta, ou a empresa se recusou a comentar.

No início deste mês, as empresas de segurança Mandiant e Google começaram a monitorar uma nova campanha de extorsão, em que companhias recebiam e-mails alegando que dados sensíveis haviam sido roubados dos sistemas Oracle E-Business Suite (EBS).

Esses e-mails vinham da operação de ransomware Clop, conhecida por explorar vulnerabilidades zero-day em ataques massivos de roubo de dados.

Embora o grupo Clop não tenha compartilhado detalhes do ataque, confirmou ao BleepingComputer que esteve por trás dos e-mails e alegou uso de uma nova falha do Oracle em seus ataques.

“Em breve ficará claro que a Oracle falhou no seu produto principal e, mais uma vez, a missão é da Clop para salvar o dia”, disse o grupo de extorsão.

Em resposta, a Oracle afirmou que Clop explorava uma falha do EBS corrigida em julho de 2025 e recomendou que os clientes aplicassem os últimos Critical Patch Updates.

Pouco depois, outro grupo de ameaças, conhecido como Scattered Lapsus$ Hunters ou ShinyHunters, liberou um exploit para o Oracle E-Business Suite em um canal do Telegram, utilizado para extorquir clientes da Salesforce.

Em 5 de outubro, a Oracle confirmou um novo zero-day ( CVE-2025-61882 ) afetando o EBS e lançou um patch emergencial.

Um dos indicadores de compromisso (IOC) na recomendação de segurança fazia referência ao exploit vazado pelo grupo Scattered Lapsus$ Hunters, sugerindo conexão.

A situação ficou confusa, principalmente pela falta de transparência da Oracle e de outras empresas de segurança.

Ao analisar o exploit vazado, pesquisadores do watchTowr Labs confirmaram sua capacidade de executar código remotamente, sem autenticação, inicialmente explorando o endpoint “/configurator/UiServlet” do Oracle EBS como parte da cadeia de ataque.

Por outro lado, relatórios da CrowdStrike e do Mandiant detalharam outra vulnerabilidade, diferente, que provavelmente foi usada pelo grupo Clop em agosto de 2025.

Esse outro exploit inicialmente ataca o endpoint “/OA_HTML/SyncServlet”.

Pesquisadores da Mandiant informaram ainda ter observado atividade de exploração similar ao PoC vazado pelo grupo Scattered Lapsus$ Hunters — com foco no UiServlet — já em julho de 2025.

Segundo a Mandiant, ao aplicar o patch liberado em 4 de outubro, os clientes ficam protegidos contra todas as cadeias de exploração conhecidas.

“Oracle lançou um patch em 4 de outubro para CVE-2025-61882 , que faz referência ao exploit vazado direcionado ao componente UiServlet, mas a Mandiant observou múltiplas cadeias de exploração envolvendo Oracle EBS, sendo provável que uma cadeia diferente tenha sido a base para o aviso de 2 de outubro que inicialmente sugeria exploração de vulnerabilidade conhecida”, detalha o relatório da Mandiant.

“Atualmente, não está claro quais vulnerabilidades ou cadeias de exploit correspondem à CVE-2025-61882 , porém o GTIG avalia que servidores Oracle EBS atualizados com o patch de 4 de outubro provavelmente não estão mais vulneráveis às explorações conhecidas.”

O BleepingComputer e outros pesquisadores analisaram os patches da CVE-2025-61882 , identificando que eles neutralizaram o exploit do Clop ao bloquear a classe SYNCSERVLET e adicionar regras no mod_security que impedem acesso ao endpoint “/OA_HTML/SyncServlet” e a templates usados para ataques via template malicioso.

Porém, não houve qualquer alteração na atualização para corrigir a vulnerabilidade explorada pelo exploit vazado do ShinyHunters, listado como IOC para a CVE-2025-61882 .

Assim, não se entende por que a Oracle mencionou esse exploit na recomendação oficial.

Além disso, clientes e pesquisadores relataram ao BleepingComputer que, após a correção da CVE-2025-61882 , testes indicam que a parte da vulnerabilidade SSRF do exploit vazado ainda funcionava mesmo com o patch instalado.

Somente depois da instalação da atualização deste final de semana para a CVE-2025-61884 , esses mesmos pesquisadores e clientes confirmaram que a falha SSRF foi de fato corrigida.

Foi apurado que o patch da CVE-2025-61884 agora valida uma "return_url" enviada pelo atacante por meio de expressão regular (regex).

Se a validação falha, a requisição é bloqueada.

A regex aceita apenas um conjunto restrito de caracteres e ancoragem do padrão, rejeitando injeção de caracteres CRLF.

Recomendo a leitura do relatório do watchTowr Labs para entender detalhadamente o funcionamento do exploit vazado.

Para resumir e esclarecer:

- CVE-2025-61882 é o exploit associado ao Clop, analisado pela Mandiant e CrowdStrike;
- CVE-2025-61884 é o exploit vazado pelo ShinyHunters, analisado pelo watchTowr Labs.

Até o momento, não está claro o motivo pelo qual a Oracle corrigiu os exploits dessa forma, gerando confusão nos IOCs.

Questionada sobre as preocupações dos clientes, a Oracle não respondeu ou se recusou a comentar.

A Mandiant informou que não pode responder às dúvidas no momento.

CrowdStrike e watchTowr Labs direcionaram quaisquer perguntas diretamente à Oracle.

Se você é cliente do Oracle E-Business Suite, recomenda-se fortemente aplicar todas as atualizações mais recentes o quanto antes, já que as cadeias de exploit e detalhes técnicos estão disponíveis publicamente.

Caso não seja possível aplicar a correção imediatamente, recomenda-se adicionar uma regra no mod_security para bloquear o acesso ao “/configurator/UiServlet”, interrompendo assim a parte SSRF do exploit até a atualização ser realizada.

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...