Критическая уязвимость в Oracle E-Business Suite (EBS), позволяющая удаленно выполнять код без аутентификации, активно эксплуатируется в реальных атаках. Основным исполнителем атак является известная рансомварная группировка Cl0p, также известная как Graceful Spider. Первые зафиксированные случаи эксплуатации датируются 9 августа 2025 года. Цель злоумышленников — кража данных с последующим вымогательством. Жертвы начали получать письма с требованиями выкупа за неделю до появления первых публичных отчетов об инциденте.
Уязвимости присвоен идентификатор CVE-2025-61882, и она оценена как критическая с рейтингом 9.8 из 10 по шкале CVSS. Она позволяет атакующему получить полный контроль над системой без необходимости ввода каких-либо учетных данных. Техническая реализация эксплойта признана крайне сложной, поскольку для достижения цели злоумышленники используют цепочку, состоящую как минимум из пяти отдельных ошибок в программном обеспечении.
Атрибуцию атак группировке Graceful Spider (Cl0p) с умеренной степенью уверенности провела компания CrowdStrike. Технический анализ сложности эксплойта был предоставлен исследователями из WatchTowr Labs. Агентство по кибербезопасности и защите инфраструктуры США (CISA) официально отреагировало на угрозу, добавив уязвимость в свой каталог известных эксплуатируемых уязвимостей (KEV) и связав ее с кампаниями программ-вымогателей.
Атака начинается с обхода аутентификации через отправку HTTP-запроса на конечную точку
Выполнение вредоносного кода происходит в момент, когда загруженный шаблон активируется для предварительного просмотра. Сразу после этого скомпрометированный веб-процесс Java на сервере устанавливает исходящее соединение с командной инфраструктурой злоумышленников по порту 443 (HTTPS). Это соединение используется для удаленной загрузки веб-шеллов, которые обеспечивают атакующим постоянный доступ к системе и возможность выполнения команд.
Джейк Нотт, главный исследователь безопасности в WatchTowr, отмечает, что атака использует продвинутые техники, включая подделку запросов на стороне сервера (SSRF) для контроля формирования запросов и повторное использование одного TCP-соединения (HTTP keep-alive) для повышения надежности и снижения сетевого шума.
В связи с подтвержденной эксплуатацией CISA установила крайний срок для федеральных агентств США для установки необходимых обновлений — 27 октября 2025 года. Эксперты по безопасности объявили «красный уровень тревоги», настоятельно рекомендуя всем администраторам Oracle EBS немедленно применить исправления, активно искать индикаторы компрометации в своих сетях и ужесточить конфигурации безопасности для приложений EBS, доступных из интернета.
Ситуация усугубляется тем, что информация об эксплойте начинает распространяться среди других киберпреступных групп. В Telegram-канале, который связывают с группировками Scattered Spider, LAPSUS$ (Slippy Spider) и ShinyHunters, были опубликованы детали эксплойта с критикой тактики Cl0p. Это свидетельствует о том, что Cl0p больше не является эксклюзивным обладателем этого инструмента. Аналитики прогнозируют «массовую, неизбирательную эксплуатацию со стороны множества групп в течение нескольких дней».
Изображение носит иллюстративный характер
Уязвимости присвоен идентификатор CVE-2025-61882, и она оценена как критическая с рейтингом 9.8 из 10 по шкале CVSS. Она позволяет атакующему получить полный контроль над системой без необходимости ввода каких-либо учетных данных. Техническая реализация эксплойта признана крайне сложной, поскольку для достижения цели злоумышленники используют цепочку, состоящую как минимум из пяти отдельных ошибок в программном обеспечении.
Атрибуцию атак группировке Graceful Spider (Cl0p) с умеренной степенью уверенности провела компания CrowdStrike. Технический анализ сложности эксплойта был предоставлен исследователями из WatchTowr Labs. Агентство по кибербезопасности и защите инфраструктуры США (CISA) официально отреагировало на угрозу, добавив уязвимость в свой каталог известных эксплуатируемых уязвимостей (KEV) и связав ее с кампаниями программ-вымогателей.
Атака начинается с обхода аутентификации через отправку HTTP-запроса на конечную точку
/OA_HTML/SyncServlet. После этого злоумышленник нацеливается на компонент Oracle XML Publisher Template Manager. На следующем этапе происходит загрузка вредоносного XSLT-шаблона с помощью GET- и POST-запросов на адреса /OA_HTML/RF.jsp и /OA_HTML/OA.jsp. Также был выявлен путь .../ieshostedsurvey.jsp. Ключевой недостаток заключается в том, что JSP-файл может загружать этот недоверенный файл стилей с удаленного URL. Выполнение вредоносного кода происходит в момент, когда загруженный шаблон активируется для предварительного просмотра. Сразу после этого скомпрометированный веб-процесс Java на сервере устанавливает исходящее соединение с командной инфраструктурой злоумышленников по порту 443 (HTTPS). Это соединение используется для удаленной загрузки веб-шеллов, которые обеспечивают атакующим постоянный доступ к системе и возможность выполнения команд.
Джейк Нотт, главный исследователь безопасности в WatchTowr, отмечает, что атака использует продвинутые техники, включая подделку запросов на стороне сервера (SSRF) для контроля формирования запросов и повторное использование одного TCP-соединения (HTTP keep-alive) для повышения надежности и снижения сетевого шума.
В связи с подтвержденной эксплуатацией CISA установила крайний срок для федеральных агентств США для установки необходимых обновлений — 27 октября 2025 года. Эксперты по безопасности объявили «красный уровень тревоги», настоятельно рекомендуя всем администраторам Oracle EBS немедленно применить исправления, активно искать индикаторы компрометации в своих сетях и ужесточить конфигурации безопасности для приложений EBS, доступных из интернета.
Ситуация усугубляется тем, что информация об эксплойте начинает распространяться среди других киберпреступных групп. В Telegram-канале, который связывают с группировками Scattered Spider, LAPSUS$ (Slippy Spider) и ShinyHunters, были опубликованы детали эксплойта с критикой тактики Cl0p. Это свидетельствует о том, что Cl0p больше не является эксклюзивным обладателем этого инструмента. Аналитики прогнозируют «массовую, неизбирательную эксплуатацию со стороны множества групп в течение нескольких дней».
