La banda de ransomware Clop utilizó un fallo zero-day en Oracle EBS (CVE-2025-61882) para sustraer información corporativa, mientras scripts del exploit filtrados podrían disparar una nueva ola de ataques.
Oracle advirtió recientemente a sus clientes sobre una vulnerabilidad crítica en E-Business Suite, rastreada como CVE-2025-61882 y que permite ejecución remota de código sin autenticación. La brecha, explotada activamente por el grupo de ransomware Clop en ataques de robo de datos desde agosto de 2025, fue calificado con un puntaje CVSS de 9.8, y permite la ejecución remota de código sin autenticación y está siendo aprovechado activamente por actores maliciosos.
La falla reside en el componente BI Publisher Integration de Oracle Concurrent Processing, afectando las versiones 12.2.3 a 12.2.14 del software. Oracle lanzó un parche de emergencia, pero advirtió que los administradores deben tener instalado previamente el Critical Patch Update de octubre de 2023 antes de aplicar la corrección.
“Esta vulnerabilidad puede ser explotada a través de la red sin necesidad de usuario ni contraseña. Si se explota con éxito, puede resultar en la ejecución remota de código”, indicó la compañía en su alerta de seguridad. Tanto el NCSC del Reino Unido como CISA en los Estados Unidos añadieron el CVE a sus listas de vulnerabilidades explotadas activamente.
Según Mandiant y el Google Threat Intelligence Group (GTIG), Clop inició una campaña de extorsión dirigida a múltiples organizaciones que utilizan Oracle EBS. Los atacantes enviaron correos afirmando haber robado documentos y datos confidenciales, exigiendo un pago para evitar su publicación.
Oracle inicialmente atribuyó los ataques a vulnerabilidades corregidas en julio, pero tras el análisis de indicadores de compromiso confirmó que la falla explotada correspondía al nuevo zero-day CVE-2025-61882. El CSO de Oracle, Rob Duhart, señaló que la compañía “recomienda encarecidamente a todos los clientes aplicar las actualizaciones críticas sin demora”.
Un análisis técnico realizado por los investigadores de watchTowr Labs y Resecurity reveló que el exploit está compuesto por dos scripts en Python -exp.py y server.py- que aprovechan una cadena de debilidades para forzar al servidor EBS a conectarse con el sistema del atacante. Mediante una petición HTTP manipulada, el exploit desencadena una Server-Side Request Forgery (SSRF) que termina otorgando acceso remoto al entorno operativo bajo el usuario Oracle.
La situación se agravó tras la filtración de estos scripts en Telegram por un grupo identificado como Scattered Lapsus$ Hunters, e integrado supuestamente por miembros de Lapsus$, Scattered Spider y ShinyHunters. El archivo filtrado, bautizado como “ORACLE_EBS_NDAY_EXPLOIT_POC_SCATTERED_LAPSUS_RETARD_CL0P_HUNTERS.zip”, contiene las mismas herramientas que Oracle listó en sus indicadores de compromiso.
ShinyHunters, uno de los integrantes del grupo, declaró a medios especializados de ciberseguridad que el exploit “fue robado y luego usado por Clop sin permiso”, y que por esa razón decidieron hacerlo público. Esta filtración, según expertos, abre la puerta a una segunda ola de ataques por parte de otros grupos que podrían reutilizar el código.
CrowdStrike confirmó que Clop comenzó a explotar el fallo como zero-day el 9 de agosto de 2025, y que otros actores probablemente ya están utilizando el mismo vector. “El reciente lanzamiento del parche y la prueba de concepto pública casi con certeza motivarán a más atacantes a crear versiones armadas del exploit”, advirtió la firma.
El historial delictivo de Clop incluye campañas masivas contra plataformas como MOVEit Transfer, GoAnywhere MFT, Cleo y Accellion FTA, todas ellas mediante vulnerabilidades de día cero. El Departamento de Estado de los Estados Unidos incluso ofrece una recompensa de 10 millones de dólares por información que vincule a Clop con gobiernos extranjeros.
Expertos recomiendan revisar los indicadores de compromiso publicados por Oracle, realizar análisis forenses en las instancias expuestas y restringir el acceso público a los servidores Oracle EBS. “Cada minuto sin parchear incrementa el riesgo de compromiso”, concluyó Charles Carmakal, CTO de Mandiant.