Es posible que una campaña de piratería dirigida a los clientes de Oracle E-Business Suite haya comenzado ya en julio, cuando los piratas informáticos comenzaron a encadenar vulnerabilidades en el software. según un informe publicado el jueves por Google Threat Intelligence Group (GTIG).
Los atacantes, vinculados al famoso grupo de ransomware Clop, encadenaron una serie de fallas con una vulnerabilidad de día cero para robar grandes cantidades de datos después de obtener la ejecución remota de código sin necesidad de autenticación, encontraron los investigadores.
La vulnerabilidad, rastreada como CVE-2025-61882permite que un atacante no autenticado con acceso a la red se haga cargo de la parte de procesamiento concurrente de Oracle de Oracle E-Business Suite.
Los investigadores de GTIG dijeron que la campaña involucraba malware sofisticado de varias etapas que no tenía archivos, lo que permitía que los ataques evitaran los sistemas de detección basados en archivos. La sofisticación de la campaña muestra que los piratas informáticos probablemente dedicaron mucho tiempo y recursos a la planificación de los ataques.
«Todavía estamos evaluando el alcance del incidente, pero creemos que afectó a docenas de organizaciones», dijo en un comunicado John Hultquist, analista jefe de GTIG. «Algunas campañas históricas de extorsión de datos de Clop han tenido cientos de víctimas».
Los investigadores rastrearon el robo de datos hasta agosto, mientras que los primeros signos de posible actividad de explotación comenzaron el 10 de julio, Charles Carmakal, CTO de Mandiant Consulting, dijo en una publicación de LinkedIn. Esto es anterior a un parche de julio que Oracle instó a los usuarios a descargar.
Los investigadores de watchTowr publicaron el lunes un análisis completo de la cadena de exploitsque muestra «cinco errores distintos orquestados juntos» para permitir la ejecución remota de código previamente autenticado.
Oracle lanzó un parche de emergencia el 4 de octubre y instó a los usuarios a actualizar inmediatamente sus sistemas.
Investigadores de Shadowserver el martes datos publicados que muestran 576 potencialmente vulnerables Direcciones IP basadas en el día cero.
Los investigadores de Mandiant encontraron algunas superposiciones con un código de explotación filtrado publicado el 3 de octubre por Scattered Lapsus$ Hunters, que es un grupo vinculado a numerosos ataques de ingeniería social contra minoristas y otras empresas. El grupo también se atribuyó el mérito del reciente ataque que interrumpió la producción en Jaguar Land Rover.
Sin embargo, los investigadores dijeron que actualmente no pueden evaluar si la actividad de julio involucró ese exploit o si existe alguna conexión directa entre la actividad inicial de Oracle y ShinyHunters.
Hultquist dijo que la explotación a gran escala de los días cero se ha convertido cada vez más en una característica habitual de las campañas de piratería informática.
Clop saltó a la fama internacional en 2023 en relación con la explotación masiva de vulnerabilidades en Software de transferencia de archivos MOVEit. El grupo también estuvo vinculado a una ola de piratería informática que comenzó a finales de 2024 después de explotar fallas en el software de transferencia de archivos Cleo.
La actual campaña de extorsión surgió la semana pasada cuando ejecutivos de numerosas empresas que utilizan Oracle E-Business Suite recibido correos electrónicos de extorsión de piratas informáticos que dicen ser de Clop.
Fuente