Eine kritische 0‑Day‑Schwachstelle in Oracle E‑Business Suite mit der Kennung CVE-2025-61882 wird seit August 2025 aktiv ausgenutzt. Laut Branchenanalysten setzen kriminelle Akteure, darunter die Gruppe Clop, die Lücke ein, um Daten abzugreifen und Unternehmen zu erpressen. Oracle hat einen Notfall‑Patch bereitgestellt; Administratoren sollten umgehend aktualisieren und die externe Angriffsfläche reduzieren.
CVE-2025-61882: RCE in Oracle EBS mit CVSS 9,8
Die Schwachstelle liegt im Bestandteil Oracle Concurrent Processing, genauer im Modul BI Publisher Integration, und ist mit CVSS 9,8 als kritisch bewertet. Der Kern des Risikos: Remote Code Execution (RCE) ohne Authentifizierung. Angreifer benötigen somit keine Zugangsdaten, um Code auf verwundbaren EBS‑Servern auszuführen.
Betroffen sind Oracle E‑Business Suite 12.2.3 bis 12.2.14. Oracle verlangt für die fehlerfreie Behebung das sequenzielle Einspielen des Critical Patch Update (CPU) Oktober 2023 gefolgt vom Notfall‑Patch für CVE-2025-61882. Unternehmen sollten sicherstellen, dass alle Knoten in verteilten Umgebungen konsistent gepatcht werden.
Warum das Risiko akut ist: einfache Ausnutzung und öffentliches PoC
Die Ausnutzung gilt als niedrig komplex und funktioniert ohne Login. Ein öffentliches Proof of Concept (PoC) senkt die Einstiegshürden zusätzlich und erhöht die Wahrscheinlichkeit breit angelegter Angriffe. Untersuchungen von watchTowr Labs deuten darauf hin, dass es sich um eine Verkettung mehrerer Schwachstellen handelt, die in einigen Szenarien RCE mit einem einzigen HTTP‑Request ermöglicht.
Bedrohungslage: Clop, GRACEFUL SPIDER und beobachtete Kampagnen
Mandiant berichtet, dass Clop CVE-2025-61882 (und weitere in Sommer‑Updates geschlossene Schwachstellen) seit August 2025 nutzt, um unautorisiert Daten aus Oracle‑EBS‑Systemen zu extrahieren. Vor der Patch‑Verfügbarkeit registrierten Mandiant und die Google Threat Intelligence Group (GTIG) zielgerichtete Erpressungskampagnen mit Drohungen zur Veröffentlichung gestohlener Informationen.
Zeitleiste und Zuschreibungen
CrowdStrike datiert die ersten bestätigten Ausnutzungen auf den 9. August 2025. Mit moderater Sicherheit wird eine Beteiligung von GRACEFUL SPIDER angenommen; parallel könnten weitere, voneinander unabhängige Akteure denselben Angriffsvektor nutzen.
Herkunft des Exploits: Scattered Lapsus$ Hunters und Leaks
Laut BleepingComputer veröffentlichte die Gruppierung Scattered Lapsus$ Hunters als erste Hinweise zur Schwachstelle und begleitendes Material. In Telegram kursierten zwei Archive – eines mit mutmaßlichen Oracle‑Codefragmenten zu support.oracle.com, das andere mit einem PoC‑Exploit für EBS. Die genaue Herkunft bleibt unklar; nach Angaben der Gruppe könnte der Exploit an Dritte weitergegeben und von Clop adaptiert worden sein.
Auswirkungen auf Unternehmen: hohe Datenwerte und breite EBS‑Verbreitung
Oracle E‑Business Suite ist in Finanzwesen, Beschaffung, HR und Fertigung weit verbreitet. Damit stehen besonders sensible Daten im Fokus. Eine RCE‑Kompromittierung kann nicht nur zu Datendiebstahl führen, sondern auch zu Verschlüsselung, Unterbrechungen geschäftskritischer Prozesse und Folgekosten durch Incident Response und regulatorische Meldungen.
Sofortmaßnahmen und Härtung: Patch, Exposition, Monitoring
Patchen mit Priorität 1: Zuerst Oracle CPU Oktober 2023 einspielen, danach den Notfall‑Patch zu CVE-2025-61882. Den Patch‑Stand auf allen App‑ und Concurrent‑Knoten verifizieren.
Exposition minimieren: EBS nicht direkt aus dem Internet erreichbar machen, Inbound‑Zugriffe via ACLs und VPN/Zero Trust begrenzen, auf dem Perimeter WAF mit virtuellem Patching und spezifischen Regeln für EBS‑Endpunkte einsetzen.
Monitoring und Forensik: Erweitertes Logging für Concurrent Processing und BI Publisher aktivieren, auf anomale Jobs, neue Scheduler‑Einträge, unerwartete ausgehende Verbindungen und Versuche zur Ausführung interaktiver Shells achten. Retrospektiv nach Indicators of Compromise ab Anfang August 2025 suchen.
Resilienz stärken: EBS strikt segmentieren, Servicekonten nach dem Least‑Privilege‑Prinzip beschränken, Wiederherstellungsprozeduren aus Offline‑Backups testen und den Incident‑Response‑Plan mit Dienstleistern/MSSP abstimmen.
Unternehmen mit EBS‑Versionen 12.2.3–12.2.14 sollten jetzt handeln: Patch‑Kette vollständig einspielen, die externe Angriffsfläche schließen, Telemetrie schärfen und Umgebungen rückwirkend auf Spuren einer Kompromittierung prüfen. Ein kurzes Zeitfenster zwischen Advisory und Umsetzung reduziert das Risiko erfolgreicher Angriffe und schützt vor Datenabfluss sowie Betriebsunterbrechungen.
