Una campaña de extorsión basada en el correo electrónico dirigida a los clientes de Oracle E-Business Suite desde principios de la semana pasada ahora está vinculada a una vulnerabilidad de día cero, advirtieron los investigadores de seguridad el domingo.
La campaña, de los piratas informáticos vinculados al ransomware clop, ha dirigido ejecutivos en empresas que usan la suite E-Business desde el lunes pasado. Oracle, en una publicación de blog lanzada el viernes, instó a los clientes a descargar una actualización de parche crítico que originalmente se lanzó en julio.
Oracle publicó una guía sobre el día cero y advirtió que la vulnerabilidad puede ser explotada sin autenticación.
El domingo, los investigadores de Mandiant advirtieron que la campaña también involucró una vulnerabilidad de día cero rastreada como CVE-2025-61882. El defecto, que tiene una puntuación de gravedad de 9.8, puede permitir que un atacante se haga cargo de la parte de procesamiento concurrente de Oracle de Oracle Business Suite.
Mandiant cooperó con los investigadores de seguridad de Oracle para investigar los ataques.
CLOP explotó previamente vulnerabilidades múltiples en Oracle E-Business Suite en agosto, lo que les permite robar grandes cantidades de datos de varias organizaciones que usan el software, según Charles Carmakal, CTO de Mandiant Consultinguna unidad de Google Cloud.
Los investigadores de la firma de seguridad WatchToWr dijeron que las cadenas de ataque juntas múltiples vulnerabilidades que se publicaron en la actualización del parche de julio y el día cero que se reveló recientemente.
«A primera vista, parecía razonablemente complejo y requería un esfuerzo real para reproducirse manualmente», dijo Jake Knott, investigador de seguridad principal de WatchToWr. «Pero ahora, con el código de exploit de trabajo filtrado, esa barrera de entrada se ha ido».
Clop se considera uno de los grupos de ransomware más prolíficos del mundo. El grupo estaba vinculado al 2023 Explotación masiva de fallas en Moveit software de transferencia de archivos y más recientemente explotación de Vulnerabilidades en el software de transferencia de archivos de Cleo.
Los investigadores de Watchtowr dijeron que esperan ver que varios grupos salgan a la refriega ahora que el código de exploit está disponible.
Fuente