Fyrir tveimur mánuðum hófust umfangsmiklar tölvuárásir á Oracle E-Business Suite (EBS) vegna zero-day veikleika, áður en lagfæringar voru gerðar. Nýjar upplýsingar benda til þess að glæpamenn hafi vitað um veikleikann að minnsta kosti í tvo mánuði áður en Oracle lagfærði hann.
Google Threat Intelligence Group (GTIG) og Mandiant gáfu fyrstu viðvaranir um árásir á EBS þann 2. október, eftir að stjórnendur fyrirtækja fengu útrunarpósta frá Cl0p tölvuþjófum. Samkvæmt upplýsingum hefur Cl0p staðfest að þeir stóðu að árásunum og að þeir hafi sennilega stolið stórum gögnum frá EBS kerfum þeirra fyrirtækja sem þeir beittu árásum á síðan í ágúst.
Í fyrstu sagði Oracle að árásirnar væru tengdar veikleikum sem voru lagfærðir í júlí, en þann 4. október staðfesti fyrirtækið að einnig hefði verið nýtt zero-day veikleika. Þessi veikleiki, sem ber heitið CVE-2025-61882 og hefur CVSS stig 9.8, hefur áhrif á BI Publisher Integration hlutann í Oracle Concurrent Processing. Hann er hægt að nýta af óprúttnum aðila til að framkvæma fjarstýrða kóða.
CrowdStrike hefur fylgst með árásunum sem tengjast CVE-2025-61882 og hefur tengt þær með miðlungs trúverðugleika við Rússneskan hóp sem þeir kalla Graceful Spider, þekktan fyrir árásir með Cl0p ransomware. Hins vegar er mögulegt að fleiri hópar hafi nýtt sér þennan veikleika. Rannsókn CrowdStrike er enn í gangi, en upplýsingar sem safnað hefur verið til þessa benda til þess að veikleikinn hafi fyrst verið nýttur 9. ágúst.
Hackerhóparnir ShinyHunters og Scattered Spider, sem nú kalla sig Scattered LAPSUS$ Hunters vegna samstarfs, hafa birt sönnun á að hægt sé að nýta CVE-2025-61882. Þó að fyrstu merki bentu til þess að Scattered LAPSUS$ Hunters væru að vinna með Cl0p, sýnir skilaboð í einni af skrám sem birtar voru með árásunum ágreining milli hópanna.
Merki um skaða (IoCs) sem Oracle birti bentu til þess að sönnunin væri raunveruleg, sem hefur verið staðfest með greiningu á sönnuninni af öryggisfyrirtækinu WatchTowr. „Sönnunarkeðjan sýnir mikla færni og fyrirhöfn, þar sem að minnsta kosti fimm mismunandi villur eru samræmdar til að ná fram fjarstýrðri kóða framkvæmd áður en auðkenni er gefið upp,“ sagði WatchTowr.
Með því að sönnunin sé nú opin, er búist við að önnur tölvuárásarhópar bæti CVE-2025-61882 við vopnabúnað sinn, og ennþá sé nægilega mörg markmið í boði. Samkvæmt Censys hafa yfir 2.000 Oracle E-Business Suite kerfi verið afhjúpuð á internetinu. Shadowserver Foundation hefur einnig staðfest að yfir 570 kerfi séu hugsanlega viðkvæm. Bæði Censys og Shadowserver hafa greint að flest EBS kerfin eru í Bandaríkjunum, en næst á eftir kemur Kína.
