Oracle advierte sobre una vulnerabilidad crítica de día cero de un conjunto de negocios E del día rastreada como CVE-2025-61882 que permite a los atacantes realizar una ejecución de código remoto no autenticado, con la falla explotada activamente en los ataques de robo de datos CLOP.
El defecto está dentro del producto de procesamiento concurrente Oracle de Oracle E-Business Suite (Componente: BI Publisher Integration) y tiene una puntuación base CVSS de 9.8, debido a su falta de autenticación y facilidad de explotación.
«Esta alerta de seguridad aborda la vulnerabilidad CVE-2025-61882 en Oracle E-Business Suite», dice un nuevo asesor de Oracle.
«Esta vulnerabilidad es remotamente explotable sin autenticación, es decir, puede explotarse a través de una red sin la necesidad de un nombre de usuario y contraseña. Si se explota con éxito, esta vulnerabilidad puede dar lugar a la ejecución de código remoto».
Oracle ha confirmado que la vulnerabilidad del día cero afecta a Oracle E-Business Suite, versiones 12.2.3-12.2.14, y ha lanzado una actualización de emergencia Para abordar el defecto. La compañía señala que los clientes deben instalar primero la actualización del parche crítico de octubre de 2023 antes de poder instalar las nuevas actualizaciones de seguridad.
Como existe un exploit público de POC y el defecto se explota activamente, es crucial que los administradores de Oracle instale la actualización de seguridad lo antes posible.
Día cero explotado en ataques de robo de datos CLOP
Si bien Oracle no ha declarado explícitamente que esta es una vulnerabilidad de día cero, compartieron indicadores de compromiso que corresponden a una exploit de Oracle EBS recientemente compartida por los actores de amenaza en Telegram.
Charles Carmakal, CTO, Mandiant – Google Cloud, también confirmó que esta fue la falla explotada por la pandilla de ransomware CLOP en los ataques de robo de datos que ocurrieron en agosto de 2025.
«Clop explotó vulnerabilidades múltiples en Oracle EB que les permitió robar grandes cantidades de datos de varias víctimas en agosto de 2025», compartió Carmakal en un comunicado a BleepingComuter.
«Se explotaron múltiples vulnerabilidades, incluidas las vulnerabilidades que fueron parcheadas en la actualización de Oracle en julio de 2025, así como una que fue parcheada este fin de semana (CVE-2025-61882)», continuó Carmakal.
CVE-2025-61882 es una vulnerabilidad crítica (9.8 CVSS) que permite la ejecución de código remoto no autorenticada.
Las noticias de la última campaña de extorsión de CLOP se rompieron por primera vez la semana pasada, cuando Mandiant y el Google Threat Intelligence Group (GTIG) informaron que eran rastrear una nueva campaña en el que múltiples compañías recibieron correos electrónicos que afirmaban ser de los actores de amenaza.
Estos correos electrónicos declararon que CLOP había robado datos de los sistemas Oracle E-Business Suite de la compañía y exigían un rescate para no filtrar los datos robados.
«Somos el equipo de CL0P. Si no ha oído hablar de nosotros, puede buscar en Google sobre nosotros en Internet», dice el correo electrónico de extorsión compartido con BleepingComuter.
«Recientemente hemos violado su aplicación Oracle E-Business Suite y copiado muchos documentos. Todos los archivos privados y otra información ahora se mantienen en nuestros sistemas».
Fuente: Google
La pandilla Clop Extorsion tiene una larga historia de explotar la vulnerabilidad del día cero en ataques de robo de datos masivos, que incluyen:
Clop luego confirmó a BleepingComputer que estaban detrás de los correos electrónicos de extorsión e indicaron que explotaron una vulnerabilidad de Oracle Cero-Day para robar los datos.
«Pronto, todo se volverá obvio de que Oracle molestó su producto principal y, una vez más, la tarea está en clop para salvar el día», dijo Clop a BleepingComuter, lo que indica que se explotó una nueva falla.
Sin embargo, Oracle inicialmente vinculó la campaña de extorsión CLOP a las vulnerabilidades que fueron parcheadas en julio de 2025 en lugar del nuevo día cero que ahora sabemos que se usó en los ataques.
Oracle ahora ha compartido indicadores de compromiso para la explotación del día cero, que incluyen dos direcciones IP vistas explotando servidores, un comando para abrir un shell remoto y el archivo de explotación y los archivos asociados.
Explotación filtrada por Lapsus $ cazadores dispersos
Mientras Clop está detrás de los ataques de robo de datos y la explotación del día cero de Oracle, las noticias del día cero provienen de un grupo diferente de actores de amenazas que han sido Entre sus propios titulares últimamente con su generalizado Ataques de robo de datos a los clientes de Salesforce.
El viernes, estos actores, que se hacen llamar «Cazadores de Lapsus $ esparcidos», ya que afirman que consisten en actores de amenaza de la araña dispersa, Lapsus $ y Shinyhunters, filtraron dos archivos en el telegrama que dijeron que estaban relacionados con los ataques de clop.
Un archivo llamado «Gift_from_cl0p.7z» contiene el código fuente de Oracle que parece estar relacionado con «Support.oracle.com» según los nombres de los archivos.
Sin embargo, los actores de amenaza también lanzaron un archivo «oracle_ebs_nday_exploit_poc_scattered_lapsus_retard_cl0p_hunters.zip», que insinuaron por el nombre de archivo fue el Exploit Oracle E-Business utilizado por Clop.
BleepingComputer ha confirmado que este es el mismo archivo enumerado en los indicadores de compromiso de Oracle.
Este archivo contiene un archivo de instrucciones ReadMe.md y dos scripts de Python llamados exp.py y server.py. Estos scripts de Python se utilizan para explotar una instancia vulnerable de Oracle E-Business Suite y ejecutar un comando arbitrario o abrir un shell inverso a los servidores del actor de amenaza.
Como los COI compartidos por Oracle enumeran el nombre del Archivo de Exploit compartido por Lapsus $ Hunters dispersos, ahora se confirma que este es el exploit utilizado por la pandilla de ransomware CLOP.
Sin embargo, plantea preguntas sobre cómo los actores de amenaza de Hunters de Lapsus $ hunters dispersos obtuvieron acceso a la exploit y si están trabajando con CLOP de alguna manera.
BleepingComuter contactó a representantes de Shinyhunters y Clop para hacer preguntas sobre esta relación, pero no ha recibido una respuesta en este momento.
Unirse al Cumbre de simulación de violación y ataque y experimentar el Futuro de la validación de seguridad. Escuchar a los mejores expertos y ver cómo Basura está transformando la simulación de violación y ataque.
No se pierda el evento que dará forma al futuro de su estrategia de seguridad.
