Критична 0‑day уразливість CVE-2025-61882 у Oracle E‑Business Suite (EBS) перейшла в фазу активної експлуатації. За даними Mandiant і Google Threat Intelligence Group, група Clop використовує цю брешь щонайменше з серпня 2025 року для несанкціонованого вивантаження даних і подальшого шантажу. Oracle випустила позаплановий патч, тож адміністраторам EBS важливо мінімізувати зовнішню експозицію та негайно оновитися.
Технічний профіль CVE-2025-61882: компоненти, версії та рівень ризику
Уразливість локалізована в компоненті Oracle Concurrent Processing, модулі BI Publisher Integration, і має оцінку CVSS 9.8. Ключовий вектор — remote code execution (RCE) без автентифікації: зловмиснику не потрібні облікові дані для компрометації вразливого інстансу EBS.
За інформацією вендора, уражені редакції 12.2.3–12.2.14. Для виправлення Oracle публікує екстрене оновлення з вимогою попередньо застосувати Critical Patch Update (CPU) October 2023. Лише після цього слід накладати патч, що закриває CVE-2025-61882, на всі вузли середовища.
Чому ризик максимальний: низька складність і публічний PoC
Експлуатація низької складності у поєднанні з відсутністю автентифікації і публічно доступним PoC радикально знижують поріг входу для атак. Дослідники watchTowr Labs уточнюють: ідеться про ланцюжок вразливостей, що дозволяє досягти RCE єдиним HTTP‑запитом. Це створює умови для швидкого масштабування атак проти EBS‑інфраструктур.
Атаки Clop і можливі виконавці: підтвердження інцидентів
Mandiant фіксує використання CVE-2025-61882 групою Clop з серпня 2025 року — паралельно з експлуатацією низки багів, закритих у липневих оновленнях Oracle. Компанії отримували вимоги викупу з погрозами публікації викраденої інформації, що підтверджує цілеспрямований характер кампанії.
Хронологія та атрибуція за даними CrowdStrike
За спостереженнями CrowdStrike, перші надійно задокументовані експлуатації датуються 9 серпня 2025 року. Аналітики CrowdStrike Intelligence із помірним рівнем упевненості пов’язують активність із групою GRACEFUL SPIDER, але не виключають участь кількох незалежних команд, які використовують той самий вектор.
Походження PoC: слід Scattered Lapsus$ Hunters
Видання BleepingComputer повідомляє, що перші відомості про вразливість та супровідні матеріали оприлюднені об’єднанням Scattered Lapsus$ Hunters (учасники Scattered Spider, LAPSUS$ і Shiny Hunters). У Telegram з’явилися архіви з фрагментами коду, пов’язаного з support.oracle.com, а також PoC‑експлойтом для EBS.
За оцінкою watchTowr Labs, PoC (датований травнем 2025 року) реалізує ланцюжок помилок, який забезпечує RCE в один запит. Точне походження PoC не встановлено; автори, пов’язані з Scattered Lapsus$ Hunters, припускають можливість передачі експлойта третім сторонам і його подальше використання Clop.
Рекомендації з реагування: патчі, обмеження доступу, моніторинг
Оновлення без затримок: застосуйте Oracle CPU October 2023, а потім екстрений патч для CVE-2025-61882 до всіх інстансів і вузлів кластера. Переконайтеся, що версії 12.2.3–12.2.14 повністю закриті й узгоджені між середовищами (dev/test/prod).
Зменшення експозиції: по можливості зніміть EBS із прямого доступу з інтернету, обмежте трафік ACL, використовуйте VPN/zero trust для адміністративних і користувацьких сесій. Увімкніть WAF із віртуальним патчингом і спеціальними правилами для критичних EBS‑ендпоінтів.
Моніторинг та IR: активуйте розширене логування Concurrent Processing і BI Publisher, відстежуйте нетипові джоби та вихідні з’єднання з прикладних серверів. Додайте детектування запуску інтерактивних оболонок і нестандартних процесів. Проведіть ретроспективний пошук ознак компрометації починаючи з початку серпня 2025 року.
Сегментація й стійкість: ізолюйте EBS від критичних систем, застосовуйте принцип найменших привілеїв для сервісних облікових записів, регулярно перевіряйте відновлення з бекапів. Оновіть план реагування на інциденти та синхронізуйте дії з підрядниками й MSSP.
Швидкість і дисципліна оновлень критичні: при низькій складності експлуатації та наявному публічному PoC кожна затримка збільшує ризик витоку даних. Організаціям на Oracle E‑Business Suite 12.2.3–12.2.14 варто діяти негайно — встановити патчі, закрити зовнішню експозицію і посилити моніторинг. Це мінімізує вікно можливостей для зловмисників і знижує ймовірність успішної атаки.
