Критическая уязвимость Oracle E-Business Suite активно эксплуатируется хакерами: что делать?

Компания Oracle выпустила экстренное предупреждение об уязвимости нулевого дня (zero-day) на своей корпоративной платформе E-Business Suite. Уязвимость уже эксплуатируется хакерами в атаках на крупные компании.

Речь идёт о баге CVE-2025-61882 с оценкой CVSS 9.8 — максимальной степенью критичности.

Уязвимость обнаружена в компоненте BI Publisher Integration продукта Oracle Concurrent Processing и позволяет злоумышленникам выполнять удалённый код без аутентификации — то есть без логина и пароля.

«Эта уязвимость эксплуатируется по сети без необходимости входа в систему. При успешной атаке возможен полный удалённый захват системы», — говорится в официальном уведомлении Oracle.

Компания подтвердила, что под угрозой находятся версии Oracle EBS 12.2.3–12.2.14.

Исправление уже выпущено, но для его установки необходимо сначала применить Critical Patch Update за октябрь 2023 года.

Clop эксплуатирует уязвимость в масштабных атаках

Хакерская группировка Clop, известная по атакам на MOVEit Transfer и Accellion, уже активно использует уязвимость Oracle.

По данным Mandiant (Google Cloud), Clop применил несколько эксплойтов для взлома серверов Oracle EBS в августе 2025 года, включая как июльские патчи, так и свежий баг CVE-2025-61882.

«Clop эксплуатировал несколько уязвимостей в Oracle EBS, чтобы похитить большие объёмы данных у компаний-жертв,» — подтвердил Чарльз Кармакал, CTO Mandiant.

Жертвам начали поступать письма-шантажи с угрозами опубликовать украденные документы вместе с содержимым корпоративных ERP-систем Oracle.

Формулировка типичного письма:

Мы — команда CLOP. Мы взломали вашу Oracle E-Business Suite и скопировали множество документов. Все файлы теперь в нашем распоряжении.

Clop — одна из самых агрессивных вымогательских групп мира, специализирующаяся на zero-day-атаках на корпоративные системы.

За последние годы они использовали уязвимости:

• Accellion FTA (2020),
• SolarWinds Serv-U (2021),
• GoAnywhere MFT (2023),
• MOVEit Transfer (2023),
• Cleo MFT (2024).

Общее число пострадавших компаний в мире от атак Clop превышает 3000 организаций.

Атака на Oracle EBS — первый случай компрометации ERP-платформы такого масштаба.

Утечка эксплойта и исходного кода Oracle

Интересно, что утечка эксплойта произошла не от Clop напрямую, а через другую кибергруппу — Scattered Lapsus$ Hunters, которая утверждает, что объединяет участников из Lapsus$, Scattered Spider и ShinyHunters.

6 октября на Telegram-каналах появились два архива:

• GIFT_FROM_CL0P.7z — содержит исходный код Oracle Cloud, предположительно похищенный в феврале 2025 года;
• ORACLE_EBS_NDAY_EXPLOIT_POC_SCATTERED_LAPSUS_RETARD_CL0P_HUNTERS.zip — архив с эксплойтом для уязвимости CVE-2025-61882.

BleepingComputer подтвердил, что именно этот архив совпадает с индикаторами компрометации, опубликованными Oracle.

Внутри находились Python-скрипты exp.py и server.py, позволяющие:

• выполнять произвольные команды на уязвимом сервере,
• или открывать обратную shell-сессию к серверу злоумышленников.

ShinyHunters, связанный с утечкой, заявил в интервью BleepingComputer, что эксплойт принадлежал ему и был утерян — предположительно, передан или продан Clop:

Это был мой эксплойт, как и уязвимости в SAP. Его украли и использовали другие. Мы решили просто выложить его в открытый доступ. Никакой вражды к Clop.

Oracle пока не прокомментировала возможную связь между группами, но подтвердила подлинность хэшей утёкших файлов.

Что делать администраторам Oracle

• Немедленно установить патч CVE-2025-61882 после обновления Critical Patch Update 10/2023.
• Проверить журналы активности на наличие подключений с IP 200.107.207.26 и 185.181.60.11.
• Изолировать серверы E-Business Suite, доступные из интернета.
• Включить мониторинг сетевых соединений и запусков shell-команд.
• Проверить наличие файлов exp.py и server.py в системе.

CVE-2025-61882 — одна из самых опасных уязвимостей 2025 года, поскольку:

• позволяет удалённое выполнение кода без аутентификации,
• эксплойт уже утёк в открытый доступ,
• атаки уже происходят в реальном времени.

Oracle настоятельно рекомендует администраторам немедленно обновить системы, пока Clop и Scattered Lapsus$ Hunters продолжают расширять кампанию атак.