Oracle E-Business Suite (EBS), una delle soluzioni ERP più diffuse a livello globale, è recentemente finita sotto i riflettori a causa di una grave vulnerabilità identificata come CVE-2025-61882. Questa falla, con un punteggio di gravità CVSS pari a 9.8, permette l'esecuzione di codice da remoto senza necessità di autenticazione, rendendola estremamente pericolosa per tutte le aziende che utilizzano Oracle EBS esposto su internet.

Il gruppo Cl0p e la catena di attacco

Il gruppo cybercriminale noto come Cl0p, tracciato anche col nome Graceful Spider, è stato collegato all’exploit di questa vulnerabilità sin dal 9 agosto 2025. L’attacco sfrutta un workflow complesso che coinvolge strumenti come Netcat e payload XSL codificati in Base64, permettendo agli aggressori di ottenere una reverse shell e il controllo remoto dei sistemi colpiti. L’attività malevola osservata parte da richieste HTTP verso endpoint specifici di Oracle EBS, come /OA_HTML/SyncServlet, portando a una bypass dell’autenticazione e alla successiva esecuzione di codice dannoso tramite upload di template XSLT malevoli.

Dettagli tecnici dell’exploit

Secondo le analisi condotte da vari ricercatori di sicurezza, l’exploit utilizza una catena di almeno cinque bug distinti, tra cui Server-Side Request Forgery (SSRF) e CRLF Injection, orchestrati per ottenere l’esecuzione remota di codice. In particolare, la vulnerabilità consente di caricare fogli di stile non affidabili da URL remoti, aprendo la strada a esecuzione arbitraria di comandi sul server. L’attaccante può così stabilire connessioni verso infrastrutture controllate, caricare web shell e garantire persistenza nel sistema compromesso.

Risposta della comunità e altri gruppi coinvolti

La CVE-2025-61882 è stata aggiunta al catalogo delle vulnerabilità conosciute ed attivamente sfruttate (KEV) dalla CISA, con la richiesta esplicita a tutte le agenzie federali di applicare le patch entro il 27 ottobre 2025. Gli attacchi non si limitano al solo gruppo Cl0p: altri attori, come Scattered Spider, LAPSUS$ e ShinyHunters, sembrano aver avuto accesso all’exploit, alimentando la preoccupazione per una possibile ondata di attacchi massivi e indiscriminati verso le aziende che non hanno ancora aggiornato i propri sistemi.

Raccomandazioni di sicurezza

Gli esperti di cybersecurity raccomandano vivamente di applicare immediatamente le patch ufficiali rilasciate da Oracle e di monitorare con attenzione eventuali attività sospette sui sistemi EBS esposti. Il rischio di esfiltrazione dati e ransomware è concreto e crescente, soprattutto in questa fase in cui i dettagli dell’exploit sono ormai pubblici e facilmente reperibili nei canali del cybercrime.