Una vulnerabilidad 0‑day de severidad crítica, identificada como CVE-2025-61882, afecta a Oracle E‑Business Suite (EBS) y se encuentra en fase de explotación activa. Investigadores de amenazas atribuyen campañas de exfiltración de datos y extorsión al grupo Clop desde agosto de 2025, lo que ha motivado a Oracle a liberar un parche extraordinario. Las organizaciones con EBS expuesto a Internet enfrentan un riesgo elevado y deben priorizar la remediación y el endurecimiento de su superficie de ataque.
CVE-2025-61882: detalles técnicos, alcance y severidad
La falla reside en Oracle Concurrent Processing, en el módulo BI Publisher Integration, y está valorada en 9.8 CVSS. El principal impacto es un Remote Code Execution (RCE) sin autenticación, lo que permite a un atacante ejecutar código arbitrario sin credenciales válidas. Oracle informa que están afectadas las versiones 12.2.3–12.2.14 de EBS.
Para su corrección, el proveedor ha publicado un parche de emergencia que debe aplicarse tras instalar previamente el Critical Patch Update (CPU) de octubre de 2023. Es esencial verificar que la actualización se propaga a todos los nodos del clúster o entornos de alta disponibilidad a fin de evitar brechas residuales.
Por qué el riesgo es máximo en entornos Oracle EBS
La explotación presenta baja complejidad y no requiere autenticación. La existencia de un Proof of Concept (PoC) público reduce la barrera de entrada para atacantes y facilita campañas de compromiso a escala. En entornos donde EBS mantiene exposición directa a Internet, el tiempo medio de explotación tras la divulgación suele reducirse de forma significativa, incrementando la probabilidad de impacto operacional y filtrado de datos.
Explotación en la naturaleza: Clop y posibles actores adicionales
Según Mandiant, Clop ha aprovechado CVE-2025-61882 (junto con fallas corregidas en actualizaciones de julio) para extraer información de servidores Oracle E‑Business Suite desde agosto de 2025. Antes del parche, Mandiant y el Google Threat Intelligence Group (GTIG) registraron campañas dirigidas con demandas de pago y amenazas de divulgación.
CrowdStrike sitúa las primeras explotaciones confirmadas en el 9 de agosto de 2025. Su unidad de inteligencia atribuye con confianza moderada parte de la actividad al grupo GRACEFUL SPIDER, sin descartar la participación de otros equipos que instrumentan el mismo vector de ataque en paralelo.
Origen del PoC: Scattered Lapsus$ Hunters y hallazgos de watchTowr Labs
De acuerdo con BleepingComputer, el colectivo Scattered Lapsus$ Hunters —relacionado con Scattered Spider, LAPSUS$ y Shiny Hunters— difundió información sobre la vulnerabilidad y materiales asociados. Entre los archivos publicados en Telegram se mencionan fragmentos de código supuestamente vinculados a support.oracle.com y un PoC para EBS.
Investigadores de watchTowr Labs analizaron el PoC (fechado en mayo de 2025) y concluyeron que CVE-2025-61882 se basa en una cadena de vulnerabilidades que puede habilitar RCE con un único requerimiento HTTP. El origen exacto del PoC sigue sin confirmarse; el colectivo afirma que el exploit pudo haber circulado entre terceros antes de ser utilizado por actores como Clop.
Mitigación prioritaria y respuesta ante incidentes
Actualización inmediata: aplicar el Oracle CPU October 2023 y, a continuación, el parche de emergencia para CVE-2025-61882 en todos los entornos EBS afectados (12.2.3–12.2.14). Validar la instalación en cada nodo y capa (aplicación, concurrente, BI Publisher).
Reducción de exposición: retirar el acceso directo desde Internet cuando sea posible; restringir tráfico entrante con listas de control y aplicar VPN/zero trust para sesiones administrativas y de usuario. Un WAF con reglas específicas y virtual patching puede disminuir el riesgo mientras se completa el ciclo de parcheo.
Detección y respuesta: habilitar registros ampliados en Concurrent Processing y BI Publisher; vigilar trabajos anómalos y conexiones salientes inusuales desde los servidores de aplicaciones. Implementar alertas sobre intentos de apertura de shells y procesos atípicos. Realizar un threat hunt retrospectivo desde principios de agosto de 2025 para identificar posibles indicadores de compromiso.
Resiliencia y gobierno: segmentar EBS de sistemas críticos, aplicar el principio de mínimo privilegio a cuentas de servicio y verificar periódicamente la restauración desde copias de seguridad. Actualizar planes de respuesta a incidentes y coordinar acciones con proveedores y MSSP.
La ventana entre la notificación y el parcheo es decisiva. Las organizaciones que operan Oracle E‑Business Suite 12.2.3–12.2.14 deben actuar sin demora: aplicar los parches, cerrar la exposición externa, reforzar el monitoreo y buscar señales de compromiso. Una respuesta rápida reduce de forma sustancial el riesgo de intrusión, extorsión y fuga de datos.
