Η ομάδα ransomware Cl0p ανέλαβε την ευθύνη για διείσδυση στα εσωτερικά συστήματα της Broadcom ως μέρος μιας συνεχιζόμενης εκστρατείας εκμετάλλευσης που στοχεύει ευπάθειες της Oracle E-Business Suite.
Το hack χρησιμοποιεί μια κρίσιμη ευπάθεια zero-day (CVE-2025-61882) με βαθμολογία 9,8 στην κλίμακα CVSS, επιτρέποντας στους εισβολείς να εκτελούν αυθαίρετο κώδικα χωρίς έλεγχο ταυτότητας.
Η Broadcom, ένας σημαντικός πάροχος λογισμικού ημιαγωγών και υποδομών, γίνεται το τελευταίο θύμα υψηλού προφίλ σε μια μαζική εκστρατεία εκβιασμού που ξεκίνησε στα τέλη Σεπτεμβρίου 2025.
Το σφάλμα Zero-Day επιτρέπει τη μη εξουσιοδοτημένη πρόσβαση
Οι φορείς απειλών ισχυρίζονται ότι έχουν πρόσβαση σε αρχεία εσωτερικού προγραμματισμού πόρων της επιχείρησης (ERP), τεκμηρίωση σχεδιασμού και ευαίσθητα αρχεία ημιαγωγών.
Δεδομένης της επιρροής της Broadcom στις τηλεπικοινωνίες, τα κέντρα δεδομένων και την κατασκευή επιταχυντών τεχνητής νοημοσύνης. Η πιθανή έκθεση της εσωτερικής τεκμηρίωσης εγείρει ανησυχίες για την ακεραιότητα της εφοδιαστικής αλυσίδας και τα οικοσυστήματα συνεργατών.
Ερευνητές ασφαλείας από την Google Threat Νοημοσύνη Η Group και η Mandiant εντόπισαν την υποκείμενη δραστηριότητα παραβίασης στις 10 Ιουλίου 2025, με την επιβεβαιωμένη εκμετάλλευση να ξεκινά στις 9 Αυγούστου 2025, εβδομάδες πριν από την έκδοση ενημερώσεων κώδικα της Oracle.
Η ομάδα Cl0p συγκέντρωσε πληροφορίες και κινήθηκε μέσω δικτύων θυμάτων πριν ξεκινήσει μια συντονισμένη εκστρατεία εκβιασμού μέσω email τον Σεπτέμβριο, χτυπώντας στελέχη πολλών εταιρειών ταυτόχρονα.
.webp.jpeg)
Η επίθεση εκμεταλλεύτηκε την ενσωμάτωση Business Intelligence Publisher του Oracle E-Business Suite εντός του στοιχείου Concurrent Processing, παρέχοντας στους εισβολείς πλήρη έλεγχο του συστήματος.
Το Cl0p συμπλήρωσε το zero-day με πρόσθετα προηγουμένως διορθωμένα τρωτά σημεία για να μεγιστοποιήσει τη θέση του στα εταιρικά δίκτυα.
Η ευρύτερη εκστρατεία φέρεται να έχει θέσει σε κίνδυνο τουλάχιστον 29 οργανισμούς, σύμφωνα με πρόσφατες δημοσιεύσεις στον ιστότοπο διαρροής δεδομένων Cl0p.
Οι εισβολείς χρησιμοποίησαν παραβιασμένους λογαριασμούς email τρίτων που αγοράστηκαν από αγορές πληροφοριών κλοπής για να παρακάμψουν τα φίλτρα ανεπιθύμητης αλληλογραφίας και να κάνουν τα email εκβιασμού τους να φαίνονται πιο πιστευτά.
Η Oracle κυκλοφόρησε ενημερώσεις κώδικα έκτακτης ανάγκης τον Οκτώβριο του 2024, αν και οι οργανισμοί που διαθέτουν παλαιότερες εκδόσεις του E-Business Suite παραμένουν ευάλωτοι εάν δεν έχουν εφαρμοστεί ενημερώσεις κώδικα.
Οι ειδικοί ασφαλείας συνιστούν άμεση ενημέρωση κώδικα και βελτιωμένη παρακολούθηση για ύποπτα αιτήματα POST στα τελικά σημεία/OA_HTML/SyncServlet, τα οποία είναι δείκτες συμβιβασμού υψηλής πιστότητας.
