A Oracle lançou uma atualização emergencial para corrigir uma falha crítica de segurança em seu E-Business Suite, vulnerabilidade que já vem sendo explorada na recente onda de ataques de roubo de dados atribuídos ao grupo Cl0p.
Identificada como
CVE-2025-61882
, com pontuação 9,8 no CVSS, essa falha está relacionada a um bug não especificado que permite que um atacante não autenticado, com acesso à rede via HTTP, comprometa e assuma o controle do componente Oracle Concurrent Processing.
Segundo o comunicado oficial da Oracle, “essa vulnerabilidade pode ser explorada remotamente, sem necessidade de autenticação, ou seja, é possível realizar o ataque através da rede sem usar nome de usuário ou senha”.
Caso a exploração seja bem-sucedida, o invasor pode executar código remotamente no sistema afetado.
Em outro alerta, Rob Duhart, Chief Security Officer da Oracle, afirmou que a empresa liberou patches para a
CVE-2025-61882
para “atualizar as proteções contra possíveis novas formas de exploração identificadas durante a investigação”.
Como indicadores de comprometimento (IoCs), a Oracle sinalizou alguns endereços IP e artefatos ligados à provável ação do grupo Scattered LAPSUS$ Hunters no ataque:
- 200[.]107.207[.]26 (atividade potencial via requisições GET e POST)
- 185[.]181.60[.]11 (atividade potencial via requisições GET e POST)
- sh -c /bin/bash -i >& /dev/tcp// 0>&1 (comando usado para estabelecer conexão TCP de saída em porta específica)
- oracle_ebs_nday_exploit_poc_scattered_lapsus_retard_cl0p_hunters.zip
- oracle_ebs_nday_exploit_poc_scattered_lapsus_retard-cl0p_hunters/exp.py
- oracle_ebs_nday_exploit_poc_scattered_lapsus_retard-cl0p_hunters/server.py
A divulgação do zero-day da Oracle ocorre poucos dias após surgirem relatos sobre uma nova campanha atribuída ao grupo de ransomware Cl0p, que tem como alvo o Oracle E-Business Suite.
A Mandiant, empresa do Google, descreveu a ação como uma “campanha massiva de emails” disparada a partir de centenas de contas comprometidas.
Em publicação no LinkedIn, Charles Carmakal, CTO da Mandiant no Google Cloud, detalhou que “o Cl0p explorou múltiplas vulnerabilidades no Oracle EBS, o que permitiu o roubo de grandes volumes de dados de diversas vítimas em agosto de 2025”.
Ele ainda acrescentou: “foram exploradas falhas que já tinham recebido patch na atualização da Oracle em julho de 2025, além desta descoberta recentemente (
CVE-2025-61882
)”.
Carmakal reforça que, diante da ampla exploração em zero-day já registrada — e da exploração de vulnerabilidades n-day que provavelmente continuará por outros atores —, “independentemente do momento em que o patch seja aplicado, as organizações devem checar se já foram comprometidas”.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...