Oracle heeft een kritieke kwetsbaarheid in de E-Business Suite gedicht die actief werd misbruikt in datadiefstalaanvallen door de Clop-groep. Het gaat om een zero-day, geregistreerd als CVE-2025-61882. Die maakt het mogelijk om zonder authenticatie op afstand code uit te voeren op getroffen systemen.
De fout bevindt zich in de Concurrent Processing-component van Oracle E-Business Suite, in de integratie met BI Publisher.
Volgens Oracle heeft de kwetsbaarheid een CVSS-score van 9.8. Een aanvaller kan via het netwerk misbruik maken zonder gebruikersnaam of wachtwoord. Dat meldt BleepingComputer. In dat geval kan willekeurige code worden uitgevoerd op de server. De kwetsbaarheid treft E-Business Suite-versies 12.2.3 tot en met 12.2.14. Oracle heeft een noodpatch uitgebracht, die alleen kan worden geïnstalleerd als eerder de Critical Patch Update van oktober 2023 is toegepast.
De kwetsbaarheid wordt al actief uitgebuit door de Clop-ransomwaregroep. Die wist in augustus grote hoeveelheden bedrijfsdata te stelen. Mandiant, onderdeel van Google Cloud, bevestigt dat Clop meerdere kwetsbaarheden in Oracle EBS combineerde, waaronder een aantal die in juli 2025 zijn verholpen en deze nieuwe zero-day, die pas dit weekend werd gepatcht.
Bedrijven die zijn getroffen ontvingen later e-mails waarin Clop claimde hun Oracle E-Business Suite-systemen te hebben gecompromitteerd. En dat ze grote hoeveelheden documenten te hebben gekopieerd. De afzenders eisten betaling om te voorkomen dat de gestolen gegevens openbaar zouden worden gemaakt.
Zelfde hackersgroep ook achter Salesforce-afpersing
Opmerkelijk is dat de exploitcode voor deze kwetsbaarheid onlangs opdook op Telegram. De bestanden werden gedeeld door een groep die zichzelf Scattered Lapsus$ Hunters noemt. Deze groep zegt te bestaan uit leden van Scattered Spider, Lapsus$ en ShinyHunters. De club publiceerde bestanden die volgens hen verband houden met de aanvallen van Clop. In het gelekte archief zaten Python-scripts waarmee een kwetsbare E-Business Suite-installatie kan worden misbruikt om een reverse shell te openen of commando’s uit te voeren.
Oracle heeft inmiddels indicatoren van compromittering gepubliceerd die overeenkomen met de gelekte exploitbestanden, waaronder specifieke IP-adressen. Het bedrijf roept klanten op om de noodpatch zo snel mogelijk te installeren, omdat de exploit publiek beschikbaar is en actief wordt ingezet.
De betrokken hackersgroep dook eerder deze week ook op in verband met een grootschalige afpersingsdreiging rond Salesforce, waarbij dezelfde naam, Scattered Lapsus$ Hunters, werd gebruikt. Daarmee lijkt een nieuwe coalitie van bekende cybercriminelen, eerder actief onder namen als Lapsus$ en ShinyHunters, opnieuw verantwoordelijk voor meerdere parallelle campagnes gericht op bedrijfssoftware.