Oracle ha recentemente rilasciato un aggiornamento di emergenza per correggere una grave vulnerabilità all'interno della sua piattaforma E-Business Suite, dopo che questa è stata sfruttata in una serie di attacchi di furto dati da parte del gruppo ransomware Cl0p. La falla, identificata come CVE-2025-61882 con un punteggio CVSS di 9.8, riguarda un bug non specificato che consente a un attaccante remoto non autenticato di compromettere e prendere il controllo del componente Oracle Concurrent Processing tramite accesso HTTP. Questo significa che l’attacco può essere condotto da remoto senza bisogno di alcuna autenticazione, rendendo la vulnerabilità particolarmente critica e facilmente sfruttabile.

Oracle ha spiegato che, se sfruttata con successo, questa vulnerabilità può portare all’esecuzione di codice remoto, ovvero permettere all’attaccante di eseguire comandi arbitrari sul sistema bersaglio. L’azienda ha pubblicato delle patch aggiuntive per CVE-2025-61882, frutto di ulteriori verifiche condotte durante le indagini sugli attacchi.

Indicatori di compromissione

Tra gli indicatori di compromissione resi noti, Oracle ha condiviso indirizzi IP sospetti e artefatti che suggeriscono anche il coinvolgimento del gruppo Scattered LAPSUS$ Hunters nell’exploit della falla. Tra questi indicatori figurano attività GET e POST da specifici indirizzi IP e l’uso di script per stabilire connessioni TCP verso l’esterno, oltre a proof-of-concept dannosi identificati su VirusTotal.

Campagna di attacchi e raccomandazioni

Questa vulnerabilità è stata sfruttata in una campagna di attacchi via e-mail condotta dal gruppo Cl0p, che ha compromesso centinaia di account per colpire aziende che utilizzano Oracle E-Business Suite. Mandiant, società di cybersecurity di proprietà di Google, ha descritto questi attacchi come ad “alto volume” e ha confermato che Cl0p ha sfruttato più vulnerabilità, incluse alcune già corrette nell’aggiornamento di luglio 2025 e, recentemente, proprio la CVE-2025-61882.

Vista la rapida e larga diffusione della minaccia, gli esperti raccomandano alle aziende di applicare immediatamente la patch di sicurezza rilasciata da Oracle e di verificare se i propri sistemi siano già stati compromessi, indipendentemente dal momento in cui la patch viene installata. La natura massiva dell’exploit suggerisce che altri attori potrebbero continuare a tentare di sfruttare la vulnerabilità anche dopo la sua divulgazione.