Группировка вымогателей Cl0p активно эксплуатирует критическую уязвимость нулевого дня в Oracle E-Business Suite (EBS), нацеливаясь на корпоративных клиентов через уязвимость CVE-2025-61882. Эта сложная кампания побудила Oracle выпустить экстренное руководство по безопасности после сообщений о том, что несколько организаций получили письма с вымогательством от злоумышленников.
Oracle подтвердила эксплуатацию CVE-2025-61882 - серьезной уязвимости удаленного выполнения кода, затрагивающей компонент Business Intelligence Publisher (BI Publisher) Integration в Oracle EBS. Уязвимость получила максимальный балл 9,8 по шкале CVSS, что указывает на критическую серьезность с потенциалом полного компрометирования системы. Уязвимость нулевого дня затрагивает версии Oracle E-Business Suite с 12.2.3 по 12.2.14, что затрагивает тысячи организаций по всему миру, полагающихся на интегрированный пакет бизнес-приложений Oracle для критических операций, включая управление заказами, логистику и закупки.
Исследователи кибербезопасности идентифицировали Cl0p как высококвалифицированную группировку программ-вымогателей, действующую с февраля 2019 года и известную целенаправленным использованием уязвимостей нулевого дня в корпоративном программном обеспечении для передачи файлов и бизнес-приложениях. Группировка, также связанная с субъектами угроз TA505 и FIN11, ранее эксплуатировала уязвимости нулевого дня в платформах Accellion, MOVEit Transfer, GoAnywhere и Cleo. В этой последней кампании Cl0p перешла от традиционного шифрования файлов к тактике чистого извлечения данных и вымогательства.
Клиенты Oracle начали получать угрожающие письма 2 октября, в которых утверждалось, что злоумышленники успешно похитили конфиденциальную информацию из их систем EBS. Предварительное расследование Oracle показало, что злоумышленники эксплуатировали несколько уязвимостей, включая девять дополнительных CVE, исправленных в критическом обновлении от июля 2025 года. Эти уязвимости с баллами CVSS от 5,4 до 8,1 затрагивали различные компоненты EBS, включая Oracle Lease and Finance Management, Mobile Field Service и Universal Work Queue.
Oracle выпустила исправления для всех идентифицированных уязвимостей, но организациям необходимо применить критическое исправление от октября 2023 года в качестве предварительного условия перед установкой последних обновлений безопасности. Общедоступные подтверждения концепции эксплуатации для CVE-2025-61882 теперь доступны, что значительно увеличивает риск для непропатченных систем. Эксперты по безопасности настоятельно рекомендуют всем клиентам Oracle EBS немедленно оценить свою подверженность угрозам и применить доступные исправления.
Сочетание активной эксплуатации, публичного кода эксплуатации и продемонстрированных возможностей Cl0p создает чрезвычайно опасную среду угроз для уязвимых организаций. Особую озабоченность вызывает тот факт, что группировка полностью отказалась от шифрования данных в пользу тактики вымогательства, основанной исключительно на угрозе раскрытия похищенной информации. Такой подход позволяет злоумышленникам обходить традиционные системы резервного копирования и значительно усложняет восстановление без выплаты выкупа.
Критический характер уязвимости CVE-2025-61882 обусловлен тем, что она позволяет выполнять произвольный код без аутентификации, что дает злоумышленникам полный контроль над уязвимыми системами. Учитывая, что Oracle E-Business Suite используется для критически важных бизнес-процессов, успешная эксплуатация этой уязвимости может привести к компрометации конфиденциальных деловых данных, интеллектуальной собственности и персональной информации.
Исторически группа Cl0p демонстрировала высокий уровень технической изощренности и операционной выдержки. Их предыдущие кампании характеризовались тщательной разведкой целей, использованием множественных векторов атаки и умелым избеганием обнаружения. В текущей ситуации особую тревогу вызывает наличие публичных доказательств концепции эксплуатации, что значительно снижает порог входа для других злоумышленников и может привести к всплеску атак по принципу "подражания".
Отраслевые специалисты подчеркивают, что традиционные меры защиты от программ-вымогателей могут оказаться неэффективными против новой тактики Cl0p. Вместо шифрования файлов злоумышленники сосредотачиваются на извлечении конфиденциальных данных с последующим шантажом организаций угрозой публикации информации. Это требует пересмотра стратегий безопасности с акцентом на обнаружение аномальной активности передачи данных и усиление контроля доступа к критически важным информационным активам.
Рекомендации по смягчению последствий включают не только незамедлительное применение всех доступных исправлений, но и тщательный аудит систем на предмет признаков компрометации, усиление мониторинга сетевой активности и пересмотр политик доступа к бизнес-приложениям. Особое внимание следует уделить компоненту BI Publisher Integration, который оказался основным вектором атаки в данной кампании.
Сложность современной киберугрозы подчеркивается тем, что даже после установки исправлений организациям необходимо провести тщательную проверку своих систем, поскольку злоумышленники могли установить постоянный доступ во время окна уязвимости. Многоэтапный характер атаки предполагает, что простое применение исправлений может не устранить все последствия компрометации, если злоумышленники успели создать дополнительные точки опоры в корпоративной сети.
Текущая ситуация с Cl0p и уязвимостью в Oracle EBS служит серьезным напоминанием о необходимости проактивного подхода к управлению уязвимостями в критически важных бизнес-приложениях. Организациям рекомендуется не только отслеживать официальные бюллетени безопасности вендоров, но и участвовать в отраслевых сообществах по обмену информацией об угрозах для своевременного получения актуальных данных о новых векторах атак.
