Uma campanha de exploração automatizada do zero-day no Oracle E-Business Suite (EBS) usada pelo grupo Clop alcançou sistemas ligados à Canon; a empresa diz que o impacto foi contido em um ambiente de subsidiária.
Descoberta e escopo
O incidente faz parte de uma onda de intrusões que aproveita a falha rastreada como CVE-2025-61882, uma vulnerabilidade crítica de execução remota (RCE) não autenticada no Oracle E-Business Suite. A falha tem CVSS 9.8 e afeta as versões 12.2.3 até 12.2.14 do produto, segundo os relatórios publicadas pelas investigações apressadas após a exploração ativa.
Panorama da campanha
Pesquisadores associaram a exploração em larga escala ao grupo Clop e a afiliados identificados como "Graceful Spider". A campanha começou a ser explorada já em agosto de 2025, com o objetivo inicial de plantar web shells e exfiltrar dados; a campanha ganhou maior visibilidade quando Oracle liberou correções em outubro de 2025. Fontes indicam que quase 30 organizações foram comprometidas durante a fase automatizada de exploração.
O que ocorreu na Canon
A Canon confirmou que foi listada no site de vazamentos do grupo e que a intrusão atingiu um servidor web operado por uma subsidiária da Canon U.S.A., Inc. A empresa relatou que sua equipe de segurança detectou a intrusão, isolou os sistemas afetados e retomou o serviço. Em comunicado citado nas matérias: “We have confirmed that the incident only affected the web server, and we have already taken security measures and resumed service”, disse a Canon.
Abordagem técnica e indicadores
A vulnerabilidade permitia execução de código remoto sem autenticação, possibilitando o upload de web shells e a execução de ferramentas de extração. Os relatórios listam indicadores de comprometimento (IoCs) observados na campanha, entre eles os IPs 200.107.207.26 e 185.181.60.11, hashes SHA256 de artefatos maliciosos (76b6d36e04e367a2334c445b51e1ecce97e4c614e88dfb4f72b104ca0f31235d e 6fd538e4a8e3493dda6f9fcdc96e814bdd14f3e2ef8aa46f0143bff34b882c1b) e um arquivo identificado como FileUtils.java, associado a um downloader de web shell.
Mitigações e recomendações
As fontes recomendam varredura imediata em ambientes Oracle EBS para os IoCs citados e aplicação das correções oficiais. O fato de a exploração ser de rede e não exigir interação do usuário torna urgente a validação de exposição dos endpoints EBS e a revisão de regras de firewall, segmentação e monitoração de tráfego em portas usadas pelo EBS.
Impacto, alcance e limitações das informações
Embora o site do grupo tenha listado vários domínios — incluindo o da Canon — as fontes destacam que, no caso específico da Canon, a empresa afirma que o comprometimento foi restrito a um servidor web de uma subsidiária e que não houve criptografia em larga escala nem interrupção global das operações. A extensão da exfiltração (se houve ou não roubo de dados sensíveis) não é detalhada nas matérias e segue sob investigação, segundo comunicados.
Repercussão e próximos passos
O incidente insere-se numa onda de extorsão do tipo "move-it-style", em que atacantes priorizam roubo de dados para posterior chantagem em vez de encriptação imediata. Organizações com Oracle EBS devem priorizar identificação de versões expostas, aplicar patches, procurar os IoCs publicados e combinar proteção perimétrica com monitoramento de integridade de arquivos e detecção de web shells.
O que ainda não se sabe
As matérias não detalham quais dados, se houver, foram exfiltrados das vítimas listadas nem quantas organizações confirmaram efetivamente perda de informação versus apenas presença de arquivo ou domínio listado. Também não há indicação de evidências públicas ligando diretamente o vazamento específico a exfiltração bem-sucedida em cada caso.