Критическая 0‑day уязвимость CVE-2025-61882 в Oracle E‑Business Suite (EBS) перешла в фазу активной эксплуатации. По данным отраслевых исследователей, группировка Clop использует брешь для кражи данных и шантажа организаций как минимум с августа 2025 года. Oracle выпустила экстренное обновление, а эксперты настоятельно призывают администраторов ускорить установку патча и ограничить экспозицию систем.
Что известно об уязвимости CVE-2025-61882 в Oracle E‑Business Suite
Баг локализован в компоненте Oracle Concurrent Processing, модуле BI Publisher Integration, и оценивается в 9,8 по CVSS. Ключевой риск — удаленное выполнение произвольного кода (RCE) без аутентификации, то есть атакующему не нужны учетные данные для компрометации уязвимого сервера.
По информации Oracle, затронуты версии 12.2.3–12.2.14. Для устранения проблемы опубликован внеплановый патч. Вендор подчеркивает необходимость предварительной установки Critical Patch Update за октябрь 2023 года, после чего следует применить экстренное обновление для CVE-2025-61882.
Почему риск максимальный
Уязвимость отличается низкой сложностью эксплуатации и не требует аутентификации. Публично доступный PoC сделал сценарии атак повторяемыми, что резко увеличило вероятность массового компрометационного воздействия на EBS‑инфраструктуру.
Атаки в дикой природе: Clop и другие группы
По сведениям Mandiant, Clop использует CVE-2025-61882 (а также ряд багов, закрытых в июльских апдейтах) для несанкционированного извлечения данных с серверов Oracle E‑Business Suite с августа 2025 года. До выхода патча Mandiant и Google Threat Intelligence Group (GTIG) фиксировали целевую кампанию: компаниям приходили письма с требованиями выкупа и угрозами публикации украденной информации.
Участники и хронология
Эксперты CrowdStrike отмечают, что первые зафиксированные эксплуатации относятся к 9 августа 2025 года. По оценке CrowdStrike Intelligence, с умеренной степенью уверенности к кампании причастна группа GRACEFUL SPIDER, при этом не исключается участие нескольких независимых команд, эксплуатирующих тот же вектор.
Истоки PoC: роль Scattered Lapsus$ Hunters
Издание BleepingComputer указывает, что сведения об уязвимости и связанный контент впервые опубликовало объединение Scattered Lapsus$ Hunters (участники Scattered Spider, LAPSUS$ и Shiny Hunters). В Telegram были выложены два архива: один якобы содержал фрагменты исходного кода Oracle, предположительно связанного с support.oracle.com, второй — PoC‑эксплоит для EBS.
Как сообщают исследователи watchTowr Labs, анализ выложенного PoC (датированного маем 2025 года) показал, что CVE-2025-61882 — это цепочка уязвимостей, позволяющая добиться RCE одним HTTP‑запросом. Точное происхождение PoC остается неясным; представители Scattered Lapsus$ Hunters утверждают, что эксплоит мог быть передан третьим лицам и затем использован Clop.
Меры снижения риска и рекомендации по защите
Немедленно обновите все затронутые инстансы Oracle E‑Business Suite. Соблюдайте порядок установки: сначала Oracle CPU October 2023, затем экстренный патч против CVE-2025-61882. Проверьте, что обновления применены ко всем узлам кластера/контура.
Минимизируйте экспозицию: по возможности снимите EBS с прямого доступа из интернета, ограничьте входящий трафик списками контроля доступа, используйте VPN/zero trust для админ‑ и пользовательских сессий. На периметре задействуйте WAF с виртуальным патчингом и дополнительными правилами для EBS‑эндпоинтов.
Мониторинг и ответ на инциденты: активируйте расширенное логирование модулей Concurrent Processing и BI Publisher, отслеживайте аномальные задания и сетевые исходящие соединения с приложенческих серверов. Включите детектирование попыток запуска интерактивных оболочек и нетипичных процессов. Проведите ретроспективный поиск следов компрометации за период с начала августа 2025 года.
Сегментация и устойчивость: изолируйте EBS от критичных систем, ограничьте права сервисных аккаунтов по принципу наименьших привилегий, регулярно тестируйте восстановление из резервных копий. Обновите план реагирования на инциденты, синхронизируйте действия с подрядчиками и MSSP.
Ситуация с CVE-2025-61882 демонстрирует, как быстро 0‑day превращается в масштабную кампанию вымогателей при наличии публичного PoC и высокой простоты эксплуатации. Организациям, использующим Oracle E‑Business Suite 12.2.3–12.2.14, следует действовать без промедления: применить патчи, закрыть внешнюю экспозицию, усилить мониторинг и провести проверку на следы компрометации. Чем меньше окно между уведомлением и установкой обновления, тем ниже вероятность успешной атаки и утечки данных.
