Cve-2025-61882

O grupo de ransomware Clop está em atividade com uma nova campanha de exploração, utilizando uma vulnerabilidade zero-day identificada no Oracle E-Business Suite (CVE-2025-61882). Essa falha, detectada em junho de 2025 e confirmada pela Oracle em outubro, permite que atacantes remotos acessem funções críticas de ERP, como compras e logística, sem autorização. Durante a investigação, foram identificados dois IPs de comando e controle, além de mais de 90 servidores ativos em diversos países, com a Alemanha apresentando o maior número de servidores. O Brasil, junto com Panamá e Hong Kong, também está entre os países afetados. A infraestrutura utilizada pelo Clop mostra uma continuidade operacional com campanhas anteriores, indicando uma estratégia de reutilização de infraestrutura para evitar bloqueios geopolíticos. Especialistas em segurança alertam que organizações que utilizam sistemas ERP, como o Oracle EBS, devem implementar monitoramento em nível de rede para essas sub-redes, já que a exploração de software empresarial não corrigido continua a ser uma prioridade para o grupo. A situação é crítica, e ações imediatas são recomendadas para mitigar riscos.

Um relatório recente do Google Threat Intelligence Group (GTIG) e da Mandiant revelou que dezenas de organizações podem ter sido impactadas pela exploração de uma falha de segurança zero-day no software Oracle E-Business Suite (EBS), identificada como CVE-2025-61882, com uma pontuação CVSS de 9.8. Desde 9 de agosto de 2025, a atividade maliciosa, associada ao grupo de ransomware Cl0p, utilizou múltiplas vulnerabilidades para invadir redes-alvo e exfiltrar dados sensíveis. A campanha de ataques começou em 29 de setembro de 2025, com um envio em massa de e-mails fraudulentos a executivos de empresas, alegando que suas aplicações Oracle EBS haviam sido comprometidas. Os atacantes exigiam resgates em troca de não vazamento das informações roubadas. A Oracle já lançou patches para corrigir a vulnerabilidade. Os ataques foram realizados utilizando técnicas como Server-Side Request Forgery (SSRF) e injeção de código, permitindo a execução remota de comandos. A complexidade e o investimento na campanha indicam um planejamento cuidadoso por parte dos atacantes, que podem estar associados ao grupo FIN11, conhecido por suas táticas de extorsão.

O grupo de ransomware Cl0p está explorando uma vulnerabilidade crítica zero-day na Oracle E-Business Suite, identificada como CVE-2025-61882. Essa falha, localizada no componente de Integração do Business Intelligence Publisher, permite a execução remota de código sem autenticação, com uma pontuação máxima de 9.8 no CVSS, possibilitando a total comprometimento do sistema. A vulnerabilidade afeta versões amplamente utilizadas da Oracle EBS, entre 12.2.3 e 12.2.14, que são essenciais para operações empresariais como gestão de pedidos e finanças. A Oracle já lançou atualizações de segurança, mas as organizações precisam aplicar primeiro o Critical Patch Update de outubro de 2023. O Cl0p, ativo desde 2019, tem um histórico de exploração de zero-days e, nesta campanha, está focado na exfiltração de dados em vez da criptografia. As empresas devem realizar um inventário imediato dos endpoints expostos, confirmar a instalação das atualizações e monitorar logs e tráfego de rede para sinais de comprometimento. A situação é crítica, e a falta de ação pode resultar em sérias interrupções operacionais e vazamentos de dados.

A CrowdStrike atribuiu com confiança moderada a exploração de uma vulnerabilidade crítica no Oracle E-Business Suite ao grupo de ameaças conhecido como Graceful Spider (ou Cl0p). A falha, identificada como CVE-2025-61882, possui um escore CVSS de 9.8 e permite a execução remota de código sem autenticação. O primeiro registro de exploração ocorreu em 9 de agosto de 2025. A vulnerabilidade facilita ataques que podem levar à exfiltração de dados, com um canal no Telegram insinuando a colaboração entre diferentes grupos de ameaças. A exploração envolve uma série de requisições HTTP que permitem a execução de um template XSLT malicioso, resultando em conexões de saída para a infraestrutura controlada pelos atacantes. A CISA incluiu essa vulnerabilidade em seu catálogo de vulnerabilidades conhecidas exploradas, alertando agências federais para aplicar correções até 27 de outubro de 2025. A CrowdStrike e a WatchTowr Labs destacam a complexidade do ataque, que combina múltiplas falhas para alcançar a execução remota de código pré-autenticada. O alerta é claro: empresas que utilizam o Oracle EBS devem agir rapidamente para mitigar riscos.

A Oracle emitiu um alerta de segurança urgente sobre uma vulnerabilidade crítica de 0-day no Oracle E-Business Suite, que permite a execução remota de código sem autenticação. A falha, identificada como CVE-2025-61882, afeta as versões 12.2.3 a 12.2.14 do software e possui uma pontuação máxima de 9.8 no CVSS 3.1, indicando severidade crítica. Essa vulnerabilidade reside no componente de Integração BI Publisher do Oracle Concurrent Processing e pode ser explorada remotamente através do protocolo HTTP.

A Oracle divulgou uma atualização emergencial para corrigir uma falha de segurança crítica em seu E-Business Suite, identificada como CVE-2025-61882, com uma pontuação CVSS de 9.8. Essa vulnerabilidade permite que um atacante não autenticado, com acesso à rede via HTTP, comprometa o componente de Processamento Concorrente da Oracle. A empresa alertou que, se explorada com sucesso, essa falha pode resultar em execução remota de código. O Chief Security Officer da Oracle, Rob Duhart, afirmou que a atualização foi lançada para mitigar potenciais explorações adicionais descobertas durante a investigação. A vulnerabilidade está relacionada a uma onda recente de ataques de roubo de dados do grupo Cl0p, que utilizou múltiplas falhas, incluindo algumas já corrigidas em atualizações anteriores. A Mandiant, subsidiária do Google, destacou que o Cl0p explorou essas vulnerabilidades para roubar grandes quantidades de dados de várias vítimas. Diante da exploração em massa de zero-days, as organizações devem verificar se já foram comprometidas, independentemente da aplicação do patch.