Crowdstrike el lunes dicho Está atribuyendo la explotación de una falla de seguridad recientemente revelada en Oracle E-Business Suite con confianza moderada para un actor de amenaza que rastrea tanto Araña elegante (también conocido como CL0P), y que la primera explotación conocida ocurrió el 9 de agosto de 2025.
La explotación implica la explotación de CVE-2025-61882 (Puntuación CVSS: 9.8), una vulnerabilidad crítica que facilita la ejecución del código remoto sin autenticación.
La compañía de seguridad cibernética también señaló que actualmente no se sabe cómo un canal de telegrama «insinuante» de la colaboración entre la araña dispersa, Lapsus $ (también conocido como Slippy Spider) y Shinyhunters entró en posesión de una exploit para el defecto, y si ellos y otros actores de amenazas lo han opacado en ataques de todos los valores.
Se ha observado que el canal Telegram compartió la supuesta exploit de Oracle EBS, al tiempo que critica las tácticas de Spider de Greyful Spider.
La actividad observada hasta ahora implica una solicitud HTTP a /OA_HTML /SyncServlet, lo que resulta en un bypass de autenticación. Luego, el atacante se dirige al gerente de plantilla del editor XML de Oracle al emitir solicitudes Get and Post a /oa_html/rf.jsp y /oa_html/oa.jsp para cargar y ejecutar una plantilla XSLT maliciosa,
Los comandos en la plantilla maliciosa se ejecutan cuando se observa, lo que resulta en una conexión saliente desde el proceso del servidor web Java a la infraestructura controlada por los atacantes sobre el puerto 443. La conexión se usa posteriormente para cargar de forma remota conchas web para ejecutar comandos y establecer persistencia.
Se cree que uno o más actores de amenaza están en posesión de la exploit CVE-2025-61882 para fines de exfiltración de datos.
«La divulgación de prueba de concepto y la liberación de parche CVE-2025-61882 casi seguramente fomentarán a los actores de amenaza, particularmente aquellos familiarizados con Oracle EBS, a crear POC armados e intentar aprovecharlos contra aplicaciones EBS expuestas a Internet», dijo.
En un análisis separado, WatchTowr Labs dijo: «La cadena demuestra un alto nivel de habilidad y esfuerzo, con al menos cinco errores distintos orquestados juntos para lograr la ejecución de código remoto preautenticado». Toda la secuencia de eventos es la siguiente –
- Envíe una solicitud de publicación HTTP que contenga un XML diseñado a/OA_HTML/Configurator/UIServlet para coaccionar el servidor de backend para enviar solicitudes HTTP arbitrarias por medio de un ataque de falsificación del lado del servidor (SSRF) Ataque
- Utilice una inyección de retorno de carro/alimentación de línea (CRLF) para inyectar encabezados arbitrarios en la solicitud HTTP activada por el SSRF preautenticado
- Use esta vulnerabilidad para contrabandear solicitudes a una aplicación Oracle EBS expuesta a Internet a través de «Apps.example.com:7201/oa_html/help/../ieshostedsurvey.jsp» y cargue una plantilla XSLT maliciosa
El ataque, en esencia, aprovecha el hecho de que el archivo JSP puede cargar una hoja de estilo no confiable de una URL remota, abriendo la puerta a un atacante para lograr la ejecución de código arbitraria.
«Esta combinación permite a un encuadre de solicitud de control del atacante a través del SSRF y luego reutilizar la misma conexión TCP a las solicitudes adicionales de la cadena, aumentar la confiabilidad y reducir el ruido», la compañía, la compañía dicho. «Las conexiones persistentes HTTP, también conocidas como HTTP Keep-ALIVE o reutilización de conexión, deja que una sola conexión TCP conlleva múltiples pares de solicitud/respuesta HTTP en lugar de abrir una nueva conexión para cada intercambio».
CVE-2025-61882 ha sido desde entonces agregado a las vulnerabilidades explotadas conocidas (Kev) Catálogo por la Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA), señalando que se ha utilizado en campañas de ransomware, instando a las agencias federales a aplicar las soluciones antes del 27 de octubre de 2025.
«CL0P ha estado explotando múltiples vulnerabilidades en Oracle EBS desde al menos agosto de 2025, robando grandes cantidades de datos de varias víctimas, y ha estado enviando correos electrónicos de extorsión a algunas de esas víctimas desde el lunes pasado», dijo Jake Knott, investigador principal de seguridad en Watchtowr, en un comunicado.
«Según la evidencia, creemos que esta es la actividad de CL0P, y esperamos ver la masa, la explotación indiscriminada de múltiples grupos en cuestión de días. Si ejecuta Oracle EBS, esta es su alerta roja. Parche de inmediato, busque agresivamente y apriete sus controles, rápido».
Fuente