Oracle pokreće zakrpu za opasan nulti dan pod aktivnom eksploatacijom jedne od najozloglašenijih bandi ransomware-a na svijetu
By
- Alex Scroxton,Security Editor
Objavljeno: 06 okt 2025 17:41
Oracle je izdao ispravku za kritičnu ranjivost daljinskog izvršavanja koda (RCE) u svom E-Business Suite (EBS), pošto se dobro korišćeni softverski paket za planiranje resursa preduzeća (ERP) pojavljuje kao najnoviji vektor za masovne Cl0p (aka Clop) ransomware napade.
Oracle EBS ekosistem je duboko ugrađen u finansijske i operativne sisteme preduzeća, koji hakerima nudi pristup širokom spektru ciljeva visoke vrednosti i potencijalno ekstremnih uticaja.
Greška u pitanju, CVE-20225-61882, prisutna je u verzijama EBS-a od 1.2.2.3 do 12.2.14 i utiče na komponentu za istovremenu obradu zadataka koja omogućava korisnicima da istovremeno pokreću više procesa.
Ocenjeno sa 9,8 na CVSS skali, smatra se da je relativno lako iskoristiti. Važno je da ga napadač bez autentifikacije može iskoristiti preko mreže bez potrebe za bilo kakvom korisničkom interakcijom, što dovodi do RCE-a.
Oracle EBS ekosistem, često duboko ugrađen u finansijske i operativne sisteme, nudi ciljeve visoke vrednosti sa dalekosežnim poslovnim uticajem.
“Oracle uvijek preporučuje da kupci ostanu na aktivno podržanim verzijama i bez odlaganja primjenjuju sva sigurnosna upozorenja i kritične zakrpe za ažuriranje,” rekao je dobavljač. “Imajte na umu da je ažuriranje kritične zakrpe iz oktobra 2023. preduvjet za primjenu ažuriranja u ovom sigurnosnom upozorenju.”
U svom savjetodavnom obavještenju, Oracle je podijelio niz pokazatelja kompromisa za koje se činilo da povezuju eksploataciju CVE-2025-61882 i sa ekipom Cl0p ransomware-a i s kolektivom Scattered Lapsus$ Hunters – što nije nužno nevjerojatno jer je poznato da je Raštrkani pauk u prošlosti djelovao kao raspršeni pauk.
Jake Knott, glavni istraživač sigurnosti u watchTowr-u, rekao je da se čini da eksploatacija EBS-a datira još od avgusta 2025. godine i upozorio je da je od ponedjeljka, 6. oktobra, kod za eksploataciju CVE-2025-61882 bio javno dostupan.
„Na prvi pogled izgledalo je prilično složeno i zahtevao je pravi napor da se reprodukuje ručno“, rekao je. “Ali sada, kada je procurio radni kod za eksploataciju, ta barijera za ulazak je nestala. Verovatno je da skoro niko nije zakrpio tokom vikenda. Dakle, budimo se kritične ranjivosti sa javnim kodom za eksploataciju i nezakrpljenim sistemima svuda.”
“U potpunosti očekujemo da ćemo vidjeti masovnu, neselektivnu eksploataciju od više grupa u roku od nekoliko dana,” rekao je Knott. “Ako pokrenete Oracle EBS, ovo je vaše crveno upozorenje. Patch odmah, agresivno lovite i pooštrite svoje kontrole, brzo.”
Pišući na LinkedIn-u, Charles Carmakal, glavni tehnički direktor i savjetnik u Google Cloud’s Mandiant, potvrdio je ovo, rekavši da je Cl0p gotovo sigurno iskoristio više drugih ranjivosti EBS-a – uključujući i one koje su zakrpljene prije nekoliko mjeseci – također. Banda je navodno kontaktirala žrtve od početka prošle sedmice, ali Carmakal je dodao da možda još nije uspostavila kontakt sa svima njima.
Cl0povo upozorenje iz istorije
Kao što se vidi 2023. godine, kada je uspješno ciljala grešku u softverskom proizvodu za prijenos datoteka MOVEit kompanije Progress Software kako bi iznudila potencijalno stotine žrtava, Cl0p banda ima naviku da sprovodi aktivnosti masovne eksploatacije protiv više nizvodnih organizacija putem široko korišćenih softverskih paketa. Masovno ciljanje Oracle EBS-a koje se sada vidi se uklapa u ovaj uspostavljeni modus operandi.
Istorijski gledano, Cl0p-ova aktivnost dolazi u kratkim, snažnim rafalima između dugih perioda zastoja – vjerovatno zbog administrativnog opterećenja koje stvaraju masovni napadi – a Kroll izvršni direktor sajber i otpornosti podataka, Maks Henderson, bio je među onima koji su nekoliko sedmica upozoravali da će se banda vjerovatno ponovo pojaviti. On je za Computer Weekly rekao da bi drugi mogli slijediti, i opisao je „tmurne“ posljedice.
„Trebalo bi hitno požuriti da žrtve i korisnici Oraclea zakrpe ovo, jer se kontinuirani napadi ili napadi drugih grupa mogu nastaviti“, rekao je. “Očekujemo dugačak rep samoidentifikujućih žrtava u ovoj situaciji, jer mnoge žrtve nisu svjesne da e-mailovi za iznudu stoje u njihovim fasciklama za smeće.”
Pročitajte više o hakerima i prevenciji sajber kriminala
-
Ponovno pojavljivanje Clop pokreće napade ransomware-a u februaru
Autor: Alex Scroxton
-
Napadači sve više traže eksploatacije nultog dana
Autor: Alex Scroxton
-
Više podataka ukradenih u MOVEit napadima 2023. izlazi na vidjelo
Autor: Alex Scroxton
-
Ransomware bande sve više iskorištavaju ranjivosti
Autor: Arielle Waldman