Oracle идентифицировала и устранила 0-day в платформе E-Business Suite, которая эксплуатировалась в атаках Clop, нацеленных на кражу данных.

Кампания началась на прошлой неделе и была связана с бандой вымогателей Clop, а задействованная уязвимость отслеживается как CVE-2025-61882, о чем сообщил руководитель службы безопасности Oracle Роб Дюхарт.

Ошибка обнаружена в продукте Oracle Concurrent Processing из Oracle E-Business Suite (компонент: BI Publisher Integration) и имеет базовую оценку CVSS 9,8.

Она позволяет злоумышленникам выполнять неаутентифицированное удаленное выполнение кода и проста в эксплуатации.

Oracle подтвердила, что 0-day затрагивает Oracle E-Business Suite версий 12.2.3–12.2.14, и выпустила экстренное обновление для её устранения.

Компания отмечает, что клиентам необходимо сначала установить критическое обновление за октябрь 2023 года, прежде чем они смогут устанавливать новые обновления.

При этом компания явно не заявила, что это 0-day, но поделились IOCs, которые соответствуют эксплойту Oracle EBS, недавно распространенному злоумышленниками через Telegram.

В Mandiant также подтвердили, что именно эта уязвимость была использована бандой вымогателей Clop в ходе атак, которые произошли в августе 2025 года.

Clop воспользовались множественными уязвимостями в Oracle EBS, исправленными в обновлении за июль 2025 года и еще одной, исправленной на выходных - CVE-2025-61882, что позволило хакерам выкрасть большие объемы данных у нескольких жертв.

Сообщения об атаках Clop впервые появились на прошлой неделе, когда Mandiant и Google Threat Intelligence Group сообщили о попадании в поле зрения новой кампании, в рамках которой несколько компаний получили электронные письма, якобы отправленные злоумышленниками.

В них фигурировали требования выкупа и упоминание хакеров о том, что им удалось взломать приложение Oracle E-Business Suite жертвы и выкрасть данные из систем.

Позже сами Clop подтвердили, что именно они стояли за этими письмами, указав о задействовании нуля в Oracle для кражи данных.

Причем изначально Oracle связала кампанию Clop с уязвимостями, которые были исправлены в июле 2025 года, однако только позже разработчики смогли отыскать 0-day.

Кроме того, новость об этой уязвимости нулевого дня впервые пришла от Scattered Lapsus$ Hunters, которые в последнее время сами оказались в центре внимания из-за своих масштабных атак по краже данных у клиентов Salesforce.

Они опубликовали в Telegram два файла, которые, по их словам, связаны с атаками Clop. Один файл «GIFT_FROM_CL0P.7z» содержит исходный код Oracle, который, судя по именам файлов, связан с support.oracle.com.

И архив «ORACLE_EBS_NDAY_EXPLOIT_POC_SCATTERED_LAPSUS_RETARD_CL0P_HUNTERS.zip», который, судя по названию файла, был эксплойтом Oracle E-Business, который использовали Clop. Это тот же файл, который указан в индикаторах компрометации Oracle.

Все это наводит на вопросы о том, как злоумышленники из Scattered Lapsus$ Hunters получили доступ к эксплойту и сотрудничают ли они в каком-либо качестве с Clop.

Так что будем следить.