La agencia de ciberseguridad CISA ha confirmado que una vulnerabilidad en Oracle E-Business Suite (EBS), corregida a principios de este mes, ha sido objeto de explotación activa.

Numerosos clientes de Oracle han sido blanco de una campaña que involucró el robo de datos de sus instancias de EBS. Los ciberdelincuentes, presuntamente asociados con un grupo de amenazas llamado FIN11, han sustraído grandes cantidades de archivos e intentado extorsionar a las víctimas.

Los atacantes aprovecharon las vulnerabilidades de EBS para acceder a información sensible, aunque Oracle y la comunidad de ciberseguridad aún no han especificado cuáles de estas vulnerabilidades han sido explotadas.

Oracle inicialmente indicó que las vulnerabilidades conocidas, parcheadas en julio, estaban implicadas, y posteriormente anunció que una
vulnerabilidad Zero-Day identificada como CVE-2025-61882
también fue aparentemente utilizada durante la campaña.

Pocos días después, el 11 de octubre,
el gigante del software comunicó que había solucionado otro
CVE-2025-61884, el cual puede ser explotado remotamente sin autenticación o interacción del usuario para acceder a datos confidenciales.
Sin embargo, el anuncio de Oracle no proporcionó ninguna prueba de que CVE-2025-61884 haya sido utilizada en los ataques, aunque el momento de la implementación del parche sugiere que los atacantes pudieron haberla aprovechado.

El lunes, CISA añadió CVE-2025-61884 a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), confirmando que ha sido explotada. Además, Bleeping Computer reportó que esta vulnerabilidad coincide con un exploit PoC filtrado por Scattered Lapsus$ Hunter, poco después de que se revelara la campaña de hackeo de Oracle EBS. Inicialmente, se pensó que este PoC correspondía a CVE-2025-61882.

Tras la filtración del exploit para CVE-2025-61884, investigadores de
watchTowr Labs lo analizaron
y confirmaron que puede ser utilizado para ejecutar código remoto sin autenticación en servidores. Este exploit filtrado ataca inicialmente el endpoint
«/configurator/UiServlet» de Oracle E-Business Suite como parte de su cadena de ataque. Sin embargo, CrowdStrike y Mandiant publicaron informes posteriores que
revelaron una vulnerabilidad totalmente distinta, que se cree fue explotada por la banda de extorsión Clop en agosto de 2025, atacando inicialmente el punto final
«/OA_HTML/SyncServlet».

A pesar de ello, no hubo modificaciones en la actualización de seguridad que corrigieran la vulnerabilidad explotada por el PoC de ShinyHunter, que estaba como IOC para CVE-2025-61882. Por ende, no está claro por qué Oracle la mencionó en su aviso.

Además, tras la corrección de CVE-2025-61882, tanto clientes como investigadores reportaron que las pruebas indicaban que al menos el componente SSRF del exploit filtrado seguía operativo, incluso con los parches actuales instalados. Sin embargo, después de aplicar la actualización reciente para CVE-2025-61884, esos mismos investigadores y clientes informaron que el componente SSRF ya estaba corregido.

El parche para CVE-2025-61884 valida ahora una «return_url» proporcionada por el atacante mediante una expresión regular, y si no cumple, bloquea la solicitud. Esta expresión regular únicamente permite un conjunto estricto de caracteres y ancla el patrón, desechando cualquier inyección CRLF.

Ataques de ransomware

Los correos de extorsión enviados a las víctimas están firmados por el grupo Cl0p, que ha adquirido notoriedad en los últimos años, especialmente por campañas similares dirigidas a los productos de transferencia de archivos como Cleo, MOVEit y Fortra a través de la explotación de vulnerabilidades de día cero.

Al momento de redactar este artículo, cuatro presuntas víctimas del ataque a Oracle EBS figuran en el sitio web de filtraciones del ransomware Cl0p: la Universidad de Harvard, American Airlines (filial Envoy Air), Schneider Electric, la Universidad de Witwatersrand de Sudáfrica y el gigante industrial Emerson.

Fuente:
SecurityNews


Con Información de blog.segu-info.com.ar