La agencia de ciberseguridad CISA ha confirmado que una vulnerabilidad de Oracle E-Business Suite (EBS), parcheada a principios de este mes, ha sido explotada de forma activa.
Decenas de clientes de Oracle han sido blanco de una campaña que implicó el robo de datos de sus instancias de EBS. Los ciberdelincuentes, presumiblemente un grupo de amenazas llamado FIN11, robaron cantidades significativas de archivos e intentaron extorsionar a las víctimas.
Los atacantes explotaron las vulnerabilidades de EBS para acceder a los datos, pero Oracle y la comunidad de ciberseguridad aún no han compartido información definitiva sobre qué vulnerabilidades se han explotado.
Oracle indicó inicialmente que las vulnerabilidades conocidas, parcheadas en julio, estaban implicadas, y posteriormente anunció que una vulnerabilidad Zero-Day identificada como CVE-2025-61882 también fue aparentemente explotada en la campaña.
Unos días después, el 11 de octubre, el gigante del software anunció correcciones para otro CVE-2025-61884, que puede explotarse de forma remota sin autenticación ni interacción del usuario para acceder a datos confidenciales. Sin embargo, el aviso de Oracle no proporcionó, ni proporciona, ninguna indicación de que CVE-2025-61884 haya sido explotada en ataques. Solo el momento de la aplicación del parche sugirió que los atacantes también la han aprovechado.
Sin embargo, CISA añadió el lunes CVE-2025-61884 a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), confirmando su explotación. Bleeping Computer informó la semana pasada que CVE-2025-61884 corresponde a un exploit PoC filtrado por Scattered Lapsus$ Hunter (una colaboración entre los grupos Scattered Spider y ShinyHunters) poco después de que saliera a la luz la campaña de hackeo de Oracle EBS. Inicialmente se creyó que la PoC corresponde a CVE-2025-61882.
Cuando se filtró el exploit para CVE-2025-61884, los investigadores de watchTowr Labs lo analizaron y confirmaron que puede utilizarse para ejecutar código remoto no autenticado en servidores. Este exploit filtrado ataca primero el endpoint «/configurator/UiServlet» de Oracle E-Business Suite como parte de la cadena de ataque. Pero, CrowdStrike y Mandiant publicaron posteriormente informes que revelaron una vulnerabilidad completamente diferente, que se cree que fue explotada por la banda de extorsión Clop en agosto de 2025. Esta vulnerabilidad ataca primero el punto final «/OA_HTML/SyncServlet».
Sin embargo, no hubo cambios en la actualización de seguridad para corregir la vulnerabilidad explotada por la PoC de ShinyHunter, que figuraba como IOC para CVE-2025-61882. Por lo tanto, no está claro por qué Oracle la mencionó en el aviso.
Además, tras la corrección de CVE-2025-61882, clientes e investigadores informaron que las pruebas indican que al menos el componente SSRF del exploit filtrado seguía funcionando, incluso con los parches actuales instalados. Tras instalar la actualización de este fin de semana para CVE-2025-61884, estos mismos investigadores y clientes informaron que el componente SSRF ya está corregido.
El parche para CVE-2025-61884 ahora valida una «return_url» proporcionada por el atacante mediante una expresión regular y, si falla, bloquea la solicitud. Debido a que la expresión regular solo permite un conjunto estricto de caracteres y ancla el patrón, los CRLF inyectados se rechazan.
Ataques de ransomware
Los correos electrónicos de extorsión enviados a las víctimas están firmados por el grupo Cl0p, que ha ganado notoriedad en los últimos años, especialmente como resultado de campañas similares dirigidas a los productos de transferencia de archivos Cleo, MOVEit, y Fortra mediante la explotación de vulnerabilidades de día cero.
Al momento de escribir este artículo, cuatro presuntas víctimas del ataque a Oracle EBS figuraban en el sitio web de la filtración del ransomware Cl0p: la Universidad de Harvard, American Airlines (filial Envoy Air), Schneider Electric, la Universidad de Witwatersrand de Sudáfrica y el gigante industrial Emerson.
Fuente y redacción: segu-info.com.ar
