Oracle patcht actief misbruikte zero-day in E-Business Suite

In dit artikel:

Oracle heeft een kritieke zero-day (CVE-2025-61882, CVSS 9.8) in E-Business Suite gedicht die al actief werd misbruikt door de Clop-ransomwaregroep voor datadiefstal en afpersing. De fout zit in de Concurrent Processing-component, bij de integratie met BI Publisher, en maakt het mogelijk om via het netwerk zonder authenticatie op afstand willekeurige code uit te voeren. Getroffen versies zijn EBS 12.2.3 tot en met 12.2.14.

Oracle bracht een noodpatch uit die alleen toepasbaar is als eerder de Critical Patch Update van oktober 2023 is geïnstalleerd. Beveiligingsonderzoekers en Mandiant (Google Cloud) melden dat Clop deze zero-day combineerde met andere EBS-zwakheden — waaronder kwetsbaarheden die in juli 2025 zijn opgelost — en in augustus grote hoeveelheden bedrijfsdata wist te stelen. Getroffen organisaties kregen daarna e-mails waarin betaling werd geëist om openbaarmaking van de gestolen documenten te voorkomen.

Exploitcode voor de kwetsbaarheid verscheen recentelijk op Telegram, gedeeld door een groep die zich Scattered Lapsus$ Hunters noemt; het gelekte materiaal bevatte Python-scripts om een reverse shell te openen of commando’s uit te voeren. Oracle publiceerde indicatoren van compromittering (waaronder specifieke IP-adressen) die overeenkomen met die bestanden en dringt er bij klanten opaan de noodpatch onmiddellijk te installeren. De zaak toont ook de hernieuwde samenwerking van bekende misdaadgroepen (Lapsus$, ShinyHunters e.a.) in parallelle afpersingscampagnes, onder meer rond Salesforce.