CrowdStrike dijo el lunes que la primera explotación conocida ocurrió el 9 de agosto de 2025, cuando los actores de amenazas que rastrean la explotación de defectos de seguridad recientemente revelada en Oracle E-Business Suite como una elegante araña (también conocida como CL0P).
La explotación implica la explotación de CVE-2025-61882 (puntaje CVSS: 9.8), una vulnerabilidad clave que facilita la ejecución del código remoto sin autenticación.
La compañía de ciberseguridad también señaló que actualmente se desconoce cómo la colaboración «intimidad» de una colaboración entre las arañas dispersas, Rapsuas $ (también conocido como Slippy Spider) y Bright Hunter se convirtieron en propiedad de Expoloit debido a sus defectos, y si ellos y otros actores de amenaza lo explotaron en ataques reales.
Se ha observado que el canal Telegram comparte la supuesta exploit de Oracle EBS, criticando las tácticas de Spider de Greyful Spider.
Las actividades observadas hasta ahora incluyen una solicitud HTTP a /OA_HTML /SyncServlet, y se omiten la autenticación. El atacante luego emite una solicitud para obtener el objetivo del XML Publisher Manager del Oracle.
El comando de plantilla maliciosa se ejecuta cuando se observa previamente, y una conexión saliente del proceso del servidor web Java al atacante controlada por la infraestructura está conectada a través del puerto 443. La conexión se usa para cargar de forma remota el shell web para ejecutar el comando y establecer persistencia.
Se cree que uno o más actores de amenaza son propietarios de la exploit CVE-2025-61882 para fines de eliminación de datos.
«La divulgación de prueba de concepto y la liberación de parche CVE-2025-61882 casi seguramente fomentan a los actores de amenaza, especialmente a aquellos familiarizados con Oracle EBS, a crear POC armados e intentar aprovecharlos contra aplicaciones EBS expuestas a Internet».
En otro análisis, «cadena» establece que «expresa este nivel de habilidad y esfuerzo, con al menos cinco errores diferentes que se ensamblan para lograr la ejecución del código remoto pre reconocido». Toda la secuencia de eventos es:
Envíe una solicitud de publicación HTTP que contenga el XML creado a/OA_HTML/Configurator/UIServlet para obligar al servidor de backend a enviar cualquier solicitud HTTP a través de un ataque de falsificación de solicitud del lado del servidor (SSRF) e inicie cualquier adopción de solicitudes de HTP utilizando inyección de retorno de carro/alimentación de línea (CRLF). Use esta vulnerabilidad para contrabandear solicitudes a una aplicación Oracle EBS expuesta a Internet a través de «Apps.example.com:7201/oa_html/help/../ieshostedsurvey.jsp» para cargar una plantilla XSLT maliciosa
Este ataque aprovecha el hecho de que, en su núcleo, un archivo JSP puede cargar hojas de estilo poco confiables desde una URL remota, lo que permite al atacante abrir la puerta para lograr la ejecución del código arbitrario.
«Esta combinación permite a las solicitudes de control del atacante a través de SSRF solicitar el encuadre, reutilizando la misma conexión TCP para solicitudes adicionales, aumentar la confiabilidad y reducir el ruido», dijo la compañía. «También conocido como HTTP Conexiones persistentes (también conocidas como HTTP Keep-Alive o Reutily de conexión) asegura que una sola conexión TCP tenga múltiples pares de solicitud/respuesta HTTP en lugar de abrir una nueva conexión para todos los intercambios».
CVE-2025-61882 se ha agregado desde entonces al catálogo de vulnerabilidades explotadas (KEV) conocidas por la Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA) y utilizado en campañas de ransomware, instando a las agencias federales a aplicar la solución antes del 27 de octubre de 2025.
«CL0P ha estado explotando múltiples vulnerabilidades en Oracle EBS desde al menos agosto de 2025, robando una gran cantidad de datos de varias víctimas, y ha estado enviando correos electrónicos de miedo a algunas de esas víctimas desde el lunes pasado».
«Según la evidencia, considero que esta es una actividad CL0P y espero ver completamente ver la explotación indiscriminada de la masa de múltiples grupos en unos pocos días. Cuando ejecuto Oracle EBS, esta es la alerta roja. Parche de inmediato, cazarlo activamente, apriete el control, rápido».
Source link
