Oracles corrige silenciosamente exploit de dia zero vazado por ShinyHunters – Against Invaders – Notícias de CyberSecurity para humanos.

Google alerta para campanha de extorsão Cl0p contra usuários do Oracle E-Business - Against Invaders - Notícias de CyberSecurity para humanos.

A Oracle corrigiu silenciosamente uma vulnerabilidade do Oracle E-Business Suite (CVE-2025-61884) que foi explorada ativamente para violar servidores, com uma exploração de prova de conceito vazada publicamente pelo grupo de extorsão ShinyHunters.

A falha foi resolvida com uma atualização de segurança fora de banda lançada no fim de semana, que a Oracle disse que poderia ser usada para acessar “recursos confidenciais”.

“Este alerta de segurança aborda a vulnerabilidade CVE-2025-61884 no Oracle E-Business Suite”, diz Assessoria da Oracle.

“Essa vulnerabilidade é explorável remotamente sem autenticação, ou seja, pode ser explorada em uma rede sem a necessidade de um nome de usuário e senha. Se explorada com sucesso, essa vulnerabilidade pode permitir o acesso a recursos confidenciais.”

No entanto, a Oracle não divulgou que a falha foi explorada ativamente em ataques ou que uma exploração pública foi lançada.

Vários pesquisadores, clientes e BleepingComputer confirmaram que a atualização de segurança para CVE-2025-61884 agora aborda a falha de falsificação de solicitação do lado do servidor (SSRF) de pré-autenticação usada pelo exploit vazado.

O BleepingComputer entrou em contato com a Oracle mais de seis vezes para comentar sobre as atualizações e a falta de divulgação sobre a exploração ativa, mas não recebeu resposta ou se recusou a comentar.

A bagunça confusa dos dias zero do Oracle

No início deste mês, a Mandiant e o Google começaram a rastrear um Nova campanha de extorsão em que as empresas receberam e-mails alegando que dados confidenciais haviam sido roubados de seus sistemas Oracle E-Business Suite (EBS).

Esses e-mails vieram da operação do ransomware Clop, que tem umlonga história de exploração de falhas de dia zero em ataques generalizados de roubo de dados.

E-mail de extorsão do Clop enviado aos clientes da Oracle

Em resposta aos e-mails de extorsão, a Oracle afirmou que Clop estava explorando uma falha do EBS que foi corrigida em julho de 2025, aconselhando os clientes a garantir que as atualizações críticas de patch mais recentes fossem instaladas.

Logo depois, outro grupo de agentes de ameaças, conhecido como Scattered Lapsus$ Hunters, também conhecido como ShinyHunters, lançou um exploit do Oracle E-Business Suite em um canal do Telegram que estava sendo usado para extorquir clientes do Salesforce.

A Oracle confirmou mais tarde em 5 de outubro que um novo EBS afetado por dia zero (CVE-2025-61882) e lançou um patch de emergência. Notavelmente um dos indicadores de comprometimento (IOCs) no comunicado da Oracle fez referência ao exploit lançado pelo Scattered Lapsus$ Hunters, sugerindo uma conexão.

IOCs da Oracle para CVE-2025-61882 listam incorretamente o exploit vazado corrigido porCVE-2025-61884O watchTowr Labs o analisou, confirmando que ele pode ser usado para executar a execução remota de código não autenticado em servidores. Este exploit vazado primeiro tem como alvo o”/configurator/UiServlet” no Oracle E-Business Suite como parte da cadeia de ataque.

ContudoAtaque de multidão e Mandiant posteriormente divulgaram relatórios que revelaram uma vulnerabilidade completamente diferente que se acredita ter sido explorada pela gangue de extorsão Clop em agosto de 2025. Este exploit visa primeiro o”/OA_HTML/SyncServlet“.

Pesquisadores da Mandiant também afirmaram que viram atividade de exploração semelhante ao exploit PoC vazado do Scattered Lapsus$ Hunter visando o UiServletin julho de 2025.

A Mandiant diz que, ao atualizar para o patch mais recente lançado em 4 de outubro, os clientes estão protegidos de todas as cadeias de exploração conhecidas.

“A Oracle lançou um patch em 4 de outubro para CVE-2025-61882, que fazia referência a uma cadeia de exploração vazada direcionada ao componente UiServlet, mas a Mandiant observou várias cadeias de exploração diferentes envolvendo o Oracle EBS e é provável que uma cadeia diferente tenha sido a base para o comunicado de 2 de outubro que originalmente sugeria que uma vulnerabilidade conhecida estava sendo explorada”, explica a Mandiant em seu relatório.

“Atualmente, não está claro quais vulnerabilidades / cadeias de exploração específicas correspondem ao CVE-2025-61882, no entanto, o GTIG avalia que os servidores Oracle EBS atualizados por meio do patch lançado em 4 de outubro provavelmente não são mais vulneráveis a cadeias de exploração conhecidas.”

O BleepingComputer e outros pesquisadores de segurança cibernética analisaram os patches lançados pela Oracle paraCVE-2025-61882. Descobrimos que eles quebraram o exploit Clop eliminando a classe SYNCSERVLET e adicionando mod_security regras que impedem o acesso a/OA_HTML/SyncServlet e vários modelos usados para executar um modelo malicioso.

No entanto, não houve changes na atualização de segurança para corrigir a vulnerabilidade explorada pelo PoC do ShinyHunter, que foilistado como um IOC para CVE-2025-61882. Portanto, não está claro por que a Oracle mencionou isso no comunicado.

Além disso, após a correção do CVE-2025-61882, os clientes e Pesquisadores disse ao BleepingComputer que os testes indicam que pelo menos o componente SSRF do exploit vazado ainda funcionou, mesmo com os patches atuais instalados.

Depois de instalar a atualização deste fim de semana paraCVE-2025-61884, esses mesmos pesquisadores e clientes dizem ao BleepingComputer que o componente SSRF foi corrigido.

O BleepingComputer descobriu que o patch paraCVE-2025-61884 agora valida um invasor fornecido “return_url” usando uma expressão regular e, se falhar, bloqueia a solicitação. Como o regex permite apenas um conjunto estrito de caracteres e ancora o padrão, o CRLF injetado é rejeitado.

Eu sugiro a leitura watchTowr Labs para saber exatamente como o exploit vazado funciona.

Ainda obscuro

Em resumo para todos os que ainda podem estar confusos:

  • CVE-2025-61882 – Exploração do Clop analisada pela Mandiant e CrowdStrike.
  • CVE-2025-61884 – O exploit vazado do ShinyHunter analisado pelo watchTowr Labs.

Neste ponto, não está claro por que a Oracle corrigiu os exploits como esse e IOCs incompatíveis.

O BleepingComputer entrou em contato com a Oracle sobre as preocupações de seus clientes e não recebeu uma resposta ou foi informado de que eles estavam se recusando a comentar.

A Mandiant disse ao BleepingComputer que atualmente não pode responder às nossas perguntas. A CrowdStrike e a watchTowr Labs nos encaminharam de volta à Oracle para perguntas relacionadas às vulnerabilidades.

Se você for um cliente do Oracle E-Business Suite, é altamente recomendável instalar todas as atualizações mais recentes, pois as cadeias de exploração e as informações técnicas agora estão disponíveis publicamente.

Se você não conseguir instalar a atualização mais recente imediatamente, deverá adicionar uma nova regra de mod_security que bloqueie o acesso a/configurator/UiServlet para quebrar o componente SSRF do exploit vazado até que você possa corrigir.

O Evento de Validação de Segurança do Ano: O Picus BAS Summit

Junte-se ao Cúpula de Simulação de Violação e Ataque e experimente o Futuro da validação de segurança. Ouça os principais especialistas e veja como BAS alimentado por IA está transformando a simulação de violação e ataque.

Não perca o evento que moldará o futuro da sua estratégia de segurança

Lawrence Abrams

Lawrence Abrams é o proprietário e editor-chefe da BleepingComputer.com. A área de especialização de Lawrence inclui Windows, remoção de malware e computação forense. Lawrence Abrams é coautor do Guia de campo de desfragmentação, recuperação e administração do Winternals e editor técnico do Rootkits for Dummies.

Você também pode gostar:

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.