Vào thứ Hai, CrowdStrike cho biết họ gán việc khai thác một lỗ hổng bảo mật mới được công bố trong Oracle E-Business Suite với mức độ tự tin vừa phải cho một nhóm tấn công mà họ theo dõi là Graceful Spider (còn gọi là Cl0p), và vụ khai thác đầu tiên được biết đến xảy ra vào ngày 9 tháng 8 năm 2025.
Việc khai thác liên quan đến lỗ hổng CVE-2025-61882 (điểm CVSS: 9.8), một lỗ hổng nghiêm trọng cho phép thực thi mã từ xa mà không cần xác thực.
Công ty an ninh mạng cũng lưu ý rằng hiện vẫn chưa rõ làm thế nào một kênh Telegram "ám chỉ" sự hợp tác giữa Scattered Spider, LAPSUS$ (còn gọi là Slippy Spider) và ShinyHunters lại có được một exploit cho lỗ hổng này, và liệu họ cùng các nhóm tấn công khác có khai thác nó trong các cuộc tấn công thực tế hay không.
Kênh Telegram này đã được quan sát thấy chia sẻ exploit của Oracle EBS, đồng thời chỉ trích các chiến thuật của Graceful Spider.
Hoạt động được quan sát cho đến nay bao gồm một yêu cầu HTTP tới /OA_HTML/SyncServlet, dẫn đến việc bỏ qua xác thực. Kẻ tấn công sau đó nhắm mục tiêu vào Oracle's XML Publisher Template Manager bằng cách gửi các yêu cầu GET và POST tới /OA_HTML/RF.jsp và /OA_HTML/OA.jsp để tải lên và thực thi một XSLT template độc hại.
Các lệnh trong template độc hại được thực thi khi nó được xem trước, dẫn đến một kết nối outbound từ tiến trình Java web server đến cơ sở hạ tầng do kẻ tấn công kiểm soát qua cổng 443. Kết nối này sau đó được sử dụng để tải web shells từ xa nhằm thực thi lệnh và thiết lập sự duy trì (persistence).
Người ta tin rằng một hoặc nhiều nhóm tấn công đang sở hữu exploit CVE-2025-61882 với mục đích trích xuất dữ liệu (data exfiltration).
"Việc tiết lộ proof-of-concept và phát hành bản vá CVE-2025-61882 gần như chắc chắn sẽ khuyến khích các nhóm tấn công – đặc biệt là những người quen thuộc với Oracle EBS — tạo ra các POC được vũ khí hóa (weaponized POCs) và cố gắng khai thác chúng chống lại các ứng dụng EBS được phơi bày ra internet," báo cáo cho biết.
Phân tích chuỗi khai thác
Trong một phân tích riêng biệt, WatchTowr Labs cho biết, "Chuỗi này thể hiện mức độ kỹ năng và nỗ lực cao, với ít nhất năm lỗ hổng riêng biệt được phối hợp với nhau để đạt được remote code execution trước khi xác thực." Toàn bộ trình tự các sự kiện như sau:
- Gửi một HTTP POST request chứa XML được tạo sẵn đến /OA_HTML/configurator/UiServlet để ép buộc máy chủ backend gửi các HTTP request tùy ý thông qua một cuộc tấn công Server-Side Request Forgery (SSRF)
- Sử dụng Carriage Return/Line Feed (CRLF) Injection để inject các header tùy ý vào HTTP request được kích hoạt bởi SSRF trước khi xác thực
- Sử dụng lỗ hổng này để đưa lén (smuggle) các request đến một ứng dụng Oracle EBS tiếp xúc với internet qua "apps.example.com:7201/OA_HTML/help/../ieshostedsurvey.jsp" và tải một XSLT template độc hại
Về bản chất, cuộc tấn công lợi dụng việc tệp JSP có thể tải một stylesheet không đáng tin cậy từ một URL từ xa, mở ra cánh cửa cho kẻ tấn công thực thi mã tùy ý.
"Sự kết hợp này cho phép kẻ tấn công kiểm soát việc đóng khung yêu cầu thông qua SSRF và sau đó tái sử dụng cùng một kết nối TCP để xâu chuỗi các yêu cầu bổ sung, tăng độ tin cậy và giảm nhiễu," công ty cho biết. "HTTP persistent connections, còn được gọi là HTTP keep-alive hoặc connection reuse, cho phép một kết nối TCP duy nhất mang nhiều cặp yêu cầu/phản hồi HTTP thay vì mở một kết nối mới cho mỗi lần trao đổi."
Cảnh báo và khuyến nghị
CVE-2025-61882 kể từ đó đã được thêm vào danh mục Known Exploited Vulnerabilities (KEV) của Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng (CISA), lưu ý rằng nó đã được sử dụng trong các chiến dịch ransomware, kêu gọi các cơ quan liên bang áp dụng các bản sửa lỗi trước ngày 27 tháng 10 năm 2025.
"Cl0p đã khai thác nhiều lỗ hổng trong Oracle EBS kể từ ít nhất tháng 8 năm 2025, đánh cắp một lượng lớn dữ liệu từ nhiều nạn nhân, và đã gửi email tống tiền cho một số nạn nhân đó kể từ thứ Hai tuần trước," Jake Knott, nhà nghiên cứu bảo mật chính tại watchTowr, cho biết trong một tuyên bố.
"Dựa trên bằng chứng, chúng tôi tin rằng đây là hoạt động của Cl0p, và chúng tôi hoàn toàn mong đợi sẽ thấy sự khai thác hàng loạt, bừa bãi từ nhiều nhóm trong vòng vài ngày. Nếu bạn đang chạy Oracle EBS, đây là cảnh báo đỏ của bạn. Hãy vá lỗi ngay lập tức, săn lùng tích cực và thắt chặt các biện pháp kiểm soát — thật nhanh chóng."
