Η διαβόητη συμμορία ransomware Clop έχει καταχωρίσει την Oracle στον ιστότοπο διαρροής του σκοτεινού ιστού, ισχυριζόμενος μια επιτυχημένη παραβίαση των εσωτερικών συστημάτων του τεχνολογικού γίγαντα.
Αυτή η εξέλιξη είναι μέρος μιας τεράστιας εκστρατείας εκβιασμού που εκμεταλλεύεται μια κρίσιμη ευπάθεια zero-day στο Oracle E-Business Suite (EBS), που ορίζεται ως CVE-2025-61882.
Η ομάδα, η οποία παρακολουθείται ως Graceful Spider, ισχυρίζεται ότι έχει εκμεταλλευτεί ευαίσθητα δεδομένα από την Oracle και δεκάδες πελάτες υψηλού προφίλ της, σηματοδοτώντας μια σημαντική κλιμάκωση των επιθέσεων στην αλυσίδα εφοδιασμού που θυμίζει το περιστατικό MOVEit.
The Zero-Day Exploit: CVE-2025-61882
Το διάνυσμα επίθεσης επικεντρώνεται σε μια κρίσιμη, μη εξακριβωμένη ευπάθεια απομακρυσμένης εκτέλεσης κώδικα (RCE) στο Oracle E-Business Suite.
Οι ερευνητές ασφαλείας αναφέρουν ότι οι θυγατρικές της Clop άρχισαν να εκμεταλλεύονται αυτό το ελάττωμα ήδη από τον Αύγουστο του 2025, μήνες πριν η Oracle κυκλοφορήσει μια ενημέρωση κώδικα τον Οκτώβριο του 2025.
Η αλυσίδα εκμετάλλευσης στοχεύει συγκεκριμένα το OA_HTML/SyncServlet τελικό σημείο για παράκαμψη ελέγχου ταυτότητας, ακολουθούμενο από κακόβουλη έγχυση προτύπου XSLT μέσω OA_HTML/RF.jsp για την εκτέλεση αυθαίρετων εντολών.
Αυτή η φύση “προ-εξουσιοδότησης” επέτρεψε στους εισβολείς να παραβιάσουν διακομιστές χωρίς έγκυρα διαπιστευτήρια, παρέχοντάς τους πλήρη έλεγχο σε ευαίσθητα δεδομένα ERP.
| Λεπτομέρεια ευπάθειας | Τεχνική Προδιαγραφή |
|---|---|
| Αναγνωριστικό CVE | CVE-2025-61882 |
| Προϊόν που επηρεάζεται | Oracle E-Business Suite (εκδόσεις 12.2.3 – 12.2.14) |
| Τύπος ευπάθειας | Μη έλεγχος ταυτότητας απομακρυσμένη εκτέλεση κώδικα (RCE) |
| Βαθμολογία CVSS | 9.8 (Κρίσιμο) |
| Διάνυσμα εκμετάλλευσης | Παράκαμψη ελέγχου ταυτότητας μέσω SyncServlet & XSLT Injection |
| Κατάσταση ενημέρωσης κώδικα | Επιδιορθώθηκε (Ειδοποίηση ασφαλείας Οκτωβρίου 2025) |
Εκστρατεία εκβιασμών και υψηλού προφίλ θύματα
Στοιχεία από τον ιστότοπο διαρροής του Clop εμφανίζουν μια κατάσταση «ΔΗΜΙΟΥΡΓΗΣΗ ΣΕΛΙΔΑΣ» για το ORACLE.COM, που εμφανίζεται δίπλα σε σημαντικές οντότητες όπως το MAZDA.COM, η HUMANA.COM και η Washington Post.
Η ίδια η καταχώριση της Oracle Corporation υποδηλώνει ότι ο πωλητής μπορεί να έχει πέσει θύμα του δικού του ελαττώματος λογισμικού, εκθέτοντας δυνητικά εσωτερικά εταιρικά δεδομένα.
Τα θύματα αναφέρουν ότι έλαβαν email εκβιασμού από διευθύνσεις όπως το support@pubstorm[.]com, απειλώντας με τη δημοσιοποίηση οικονομικών και προσωπικών αρχείων εάν δεν ικανοποιηθούν τα αιτήματα για λύτρα.
