Oracle E‑Business Suite: zero‑day CVE‑2025‑61882 e impacto em dezenas de organizações | Cyber ataques

Exploração de CVE‑2025‑61882 (CVSS 9.8) permitiu execução remota pré‑autenticada em Oracle E‑Business Suite (12.2.3–12.2.14). Ataques rastreados desde julho de 2025 resultaram em vazamentos e extorsão atribuídos ao Clop/FIN11; Oracle liberou patch emergencial em 4 de outubro de 2025 e CISA listou a falha no KEV em 6 de outubro.

Uma exploração massiva contra instalações internet‑facing do Oracle E‑Business Suite (EBS) usou a vulnerabilidade crítica CVE‑2025‑61882 para execução remota sem autenticação, resultando em compromissos e vazamentos de dados atribuídos ao grupo Clop/FIN11.

Resumo executivo

Pesquisas de GTIG e Mandiant traçaram exploração ativa desde 10 de julho de 2025, com roubo de dados confirmado a partir de 9 de agosto de 2025. A vulnerabilidade CVE‑2025‑61882 (CVSS 9.8) afeta Oracle EBS versões 12.2.3 a 12.2.14 e permitiu a execução remota pré‑autenticada em portais expostos.

Cadeia de exploração técnica

Análises públicas descrevem uma cadeia de cinco estágios que começa com um SSRF no endpoint /OA_HTML/configurator/UiServlet via parâmetro getUiType. Com o parâmetro redirectFromJsp presente, o servlet aceita um XML que leva a requisições outbound controladas pelo atacante.

Sequências CRLF foram usadas para manipular framing HTTP e transformar requisições GET em POST com headers maliciosos. Em seguida, path traversal e bypass de filtros permitem acesso a JSPs internos (ex.: ieshostedsurvey.jsp). O fluxo culmina em processamento XSLT inseguro que carrega um stylesheet controlado pelo atacante; como XSLT Java pode invocar classes Java e funções de extensão, o arquivo XSL malicioso executa código arbitrário dentro da JVM.

Tooling e payloads

Entre as cargas observadas está o loader em memória GOLDVEIN.JAVA, que busca payloads de estágio seguinte. O padrão TTP e semelhanças lógicas com incidentes anteriores associam a atividade ao grupo Clop e a operadores financeiros como FIN11.

Alcance, vítimas e cronologia

A página de vazamentos associada ao Clop listou 29 vítimas alegadas; investigações indicam cerca de 100 organizações possivelmente afetadas entre julho e outubro de 2025. Vítimas confirmadas publicamente incluem Harvard University, The Washington Post, Logitech e Envoy Air (subsidiária da American Airlines). GlobalLogic relatou o vazamento de dados pessoais de 10.471 funcionários.

Shadowserver reportou 576 IPs potencialmente vulneráveis em 6 de outubro de 2025, baseado em varreduras internet‑wide para a vulnerabilidade.

Resposta e lições

Oracle emitiu um Security Alert emergencial em 4 de outubro de 2025 com a correção para CVE‑2025‑61882; a vulnerabilidade foi adicionada ao catálogo Known Exploited Vulnerabilities (KEV) da CISA em 6 de outubro de 2025. A correção exigia pré‑instalação do Critical Patch Update de outubro de 2023, o que complicou a remediação para organizações desatualizadas.

Recomendações operacionais

aplicar imediatamente os Security Alerts e Critical Patch Updates indicados pela Oracle, seguindo pré‑requisitos oficiais;
realizar hunting por indicadores de compromisso fornecidos nos advisories (IOCs) e revisar logs para conexões anômalas a endpoints internos e solicitações SSRF;
reduzir exposição de interfaces EBS à internet sempre que possível, aplicar controles de rede e WAF com regras contra SSRF e CRLF injection;
considerar avaliações de integridade de sistemas e planejamento de resposta para investigar compromissos ocorridos antes da aplicação de patches.

Limitação

As fontes documentam artefatos, cronologias e nomes de vítimas dum conjunto significativo de incidentes, mas não há um inventário final público de todas as organizações afetadas.