La falla CVE-2025-61884, ya incorporada al catálogo de vulnerabilidades explotadas de CISA, está siendo utilizada en campañas de extorsión que involucran a grupos como Clop y ShinyHunters, afectando a empresas que no aplicaron los parches de seguridad de Oracle.
La Agencia de Ciberseguridad y Seguridad de Infraestructura de los Estados Unidos (CISA) confirmó esta semana que la vulnerabilidad CVE-2025-61884, presente en el componente Oracle Configurator de Oracle E-Business Suite (EBS), está siendo activamente explotada por actores de amenazas. Esta falla, de tipo Server-Side Request Forgery (SSRF) y explotable sin autenticación, fue añadida al catálogo de vulnerabilidades explotadas de CISA, condición que obliga a todas las agencias federales de ese país a aplicar los parches de seguridad antes del 10 de noviembre de 2025.
Oracle había divulgado la vulnerabilidad el 11 de octubre, calificándola con una severidad de 7,5 y advirtiendo que su explotación podría permitir “acceso no autorizado a datos críticos o a toda la información accesible del Configurator”. Sin embargo, la compañía no reconoció públicamente que la falla ya había sido utilizada en ataques, a pesar de que investigaciones de Mandiant confirmaron su relación con un exploit filtrado por los grupos ShinyHunters y Scattered Lapsus$.
El exploit fue publicado en Telegram a comienzos de octubre, y según watchTowr Labs, estaba dirigido específicamente al endpoint “/configurator/UiServlet”, peritiendo a los atacantes realizar solicitudes desde los servidores comprometidos hacia recursos internos y externos. Posteriormente, Oracle lanzó un parche fuera del ciclo habitual para corregir la vulnerabilidad mediante validación de parámetros y bloqueo de direcciones maliciosas.
El contexto de la vulnerabilidad se vincula a una oleada de ataques y extorsiones contra empresas que utilizan Oracle EBS. Según reportes de Mandiant y el Google Threat Intelligence Group (GTIG), desde finales de septiembre se han reportado correos de extorsión enviados por el grupo Clop, en los que los atacantes afirman haber robado datos confidenciales de instancias corporativas de Oracle.
En declaraciones realizadas al medio especializado de ciberseguridad BleepingComputer, un portavoz del grupo Clop habría declarado irónicamente que no buscaban dañar sistemas, sino “solo esperamos pago por nuestros servicios para proteger a las grandes empresas del mundo”.
El Chief Security Officer de Oracle, Rob Duhart, confirmó que la empresa está al tanto de las extorsiones y que los atacantes podrían estar aprovechando vulnerabilidades corregidas en las actualizaciones críticas de julio de 2025. Duhart reiteró la “fuerte recomendación de aplicar de inmediato las actualizaciones más recientes” y contactar al soporte técnico de Oracle en caso de incidentes.
El grupo Clop, también conocido como TA505 o FIN11, ha ganado notoriedad por explotar vulnerabilidades de día cero en plataformas como MOVEit Transfer, GoAnywhere MFT y Accellion FTA, afectando a miles de organizaciones en todo el mundo. El Departamento de Estado de los Estados Unidos ofrece actualmente una recompensa de hasta 10 millones de dólares por información que vincule sus operaciones a gobiernos extranjeros.