La compañía corrigió un fallo de seguridad que permitía a atacantes no autenticados acceder remotamente a datos sensibles. La actualización llega tras una campaña de extorsión vinculada al grupo Clop, que habría explotado una falla previa en la misma plataforma.
Oracle publicó durante el fin de semana una actualización de seguridad de emergencia para corregir una vulnerabilidad crítica en su plataforma E-Business Suite (EBS), identificada como CVE-2025-61884. El fallo afecta a las versiones 12.2.3 a 12.2.14 y permite que un atacante remoto no autenticado robe información confidencial sin necesidad de credenciales.
La compañía alertó que el fallo “es explotable de forma remota sin autenticación”, e instó a sus clientes a “aplicar las actualizaciones o mitigaciones lo antes posible”. El director de seguridad de Oracle, Rob Duhart, añadió que la vulnerabilidad “podría permitir el acceso a recursos sensibles” y que su puntuación base CVSS de 7.5 refleja su gravedad.
El nuevo parche surge tras semanas de intensa actividad maliciosa. Según investigadores de Google Threat Intelligence Group (GTIG) y Mandiant, el grupo de ransomware Clop habría comenzado a atacar instancias de Oracle EBS desde el 9 de agosto, logrando exfiltrar una “cantidad significativa de datos” antes de que existieran parches disponibles.
De acuerdo con el análisis de GTIG, los atacantes -también identificados bajo el alias FIN11- enviaron correos de extorsión a ejecutivos de diversas organizaciones desde el 29 de septiembre, reclamando pagos para evitar la publicación de datos corporativos.
Las investigaciones revelaron que las direcciones de contacto usadas en las extorsiones, support@pubstorm.com y support@pubstorm.net, ya figuraban en el sitio de filtraciones del grupo Clop desde mayo. Los cibercriminales incluso presentaron listados de archivos legítimos de las víctimas para demostrar la veracidad de sus amenazas.
El modus operandi de los atacantes guarda similitudes con campañas anteriores de Clop, que explotaron vulnerabilidades en servicios de transferencia de archivos como Cleo MFT y MOVEit Transfer, afectando a miles de organizaciones. En esta ocasión, los atacantes aprovecharon primero una vulnerabilidad zero-day en EBS, CVE-2025-61882, la cual permitía ejecución remota de código sin autenticación.
Oracle había emitido un parche para esa falla el 4 de octubre, pero ahora la compañía busca cerrar un nuevo frente con CVE-2025-61884 que, aunque no se ha vinculado directamente a los ataques recientes, representa un riesgo elevado dada la continua exposición de servidores EBS conectados a Internet.
GTIG y Mandiant recomendaron a las organizaciones aplicar inmediatamente las actualizaciones de Oracle, bloquear el tráfico saliente innecesario desde los servidores EBS y revisar los registros de red en busca de indicadores de compromiso.
Oracle reiteró que “las instancias vulnerables de EBS siguen siendo un objetivo prioritario de actores de amenazas con alta capacidad técnica”, y advirtió que la investigación sobre los ataques continúa abierta.