Vulnerabilidad crítica en Oracle E-Business Suite

Oracle advierte sobre una nueva vulnerabilidad crítica que afecta a Oracle E-Business Suite (EBS), identificada como CVE-2025-61882, y que presuntamente se encuentra bajo ataque por el grupo Cl0p, en una campaña de ransomware y robo de información. 
 

Con una calificación crítica CVSS3.1 de 9.8, esta vulnerabilidad afecta al componente BI Publisher Integration de E-Business Suite. La complejidad de ataque para explotar la vulnerabilidad es baja, no se requieren credenciales de autenticación y puede llevarse a cabo de forma remota mediante solicitudes HTTP maliciosas a un servidor EBS expuesto a internet, que comprometen al Procesamiento Concurrente de Oracle, permitiendo la ejecución remota de código y una toma de control total del sistema.  
 

La accesibilidad a través de conexiones HTTP estándar y la posibilidad de explotación remota, convierten a esta vulnerabilidad en un objetivo atractivo para grupos de ransomware y otros actores de amenaza que busquen maximizar el impacto a través de diferentes organizaciones de forma simultánea.  
 

Hace una semana, Oracle informó de una campaña de correos electrónicos de extorsión dirigida hacia múltiples organizaciones comprometidas, y al menos una confirmó que sufrió de filtración de datos. El grupo Cl0p reclamó la responsabilidad y se sospecha que sus ataques estuvieron basados en vulnerabilidades corregidas en el Critical Patch Update (CPU) de Oracle de Julio 2025, sin embargo, esta nueva vulnerabilidad de día cero podría ser el componente principal o uno de los componentes utilizados al momento. 

 

Además de Cl0p, se presume que el grupo “Scattered Lapsus$ Hunters” también podría estar robando información utilizando esta y otras vulnerabilidades publicadas en el Critical Patch Update de Julio como base para sus ataques. Debido a que esta vulnerabilidad ya se encuentra presuntamente bajo ataque por diferentes grupos de ransomware y que ya se hicieron públicas Pruebas de Concepto (PoC) y exploits, se recomienda verificar la instalación de los parches publicados en el CPU Julio 2025, CPU Octubre 2023 e instalar de forma inmediata el parche de emergencia publicado por Oracle. 

 

Indicadores de compromiso

IOC	Tipo
200.107.207.26	IP
185.181.60.11	IP
76b6d36e04e367a2334c445b51e1ecce97e4c614e88dfb4f72b104ca0f31235d	SHA256
aa0d3859d6633b62bccfb69017d33a8979a3be1f3f0a5a4bf6960d6c73d41121	SHA256
6fd538e4a8e3493dda6f9fcdc96e814bdd14f3e2ef8aa46f0143bff34b882c1b	SHA256

Versiones Afectadas

Productos	Versiones afectadas	Versiones corregidas
Oracle   E-Business Suite	12.2.3 hasta 12.2.14	Consultar mensaje de actualización de emergencia:  https://support.oracle.com/rs?type=doc&id=3106344.1    Nota: se requiere instalar la October 2023 Critical Patch Update antes de aplicar esta corrección.

Recomendaciones

• Aplicar inmediatamente la actualización de emergencia lanzada por Oracle después de haber instalado la 2023 October Critical.Patch Update. 

• Verificar instancias de Oracle EBS expuestas a internet y monitorear conexiones remotas desde estas instancias. 

• Auditar plantillas de base de datos XDO_TEMPLATES_VL, así como inicios de sesión anómalos de administrativos e invitados en ICX_SESSIONS. 

• Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque 

• Auditar herramientas de acceso remoto. (NIST CSF, 2024) 

• Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024) 

• Limitar estrictamente el uso de los protocolos SMB y RDP. 

• Realizar auditorías de seguridad. (NIST CSF, 2024) 

• Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)  

• Tener filtros de correo electrónico y spam. 

• Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social. 

• Realizar copias de seguridad, respaldos o back-ups constantemente. 

• Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos. 

• Revisar continuamente los privilegios de los usuarios. 

• Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante). 

• Habilitar la autenticación multifactorial. 

Referencias

1. Abrams, L. (2025). Oracle patches EBS zero-day exploited in Clop data theft attacks. BleepingComputer. Recuperado el 06 de octubre de 2025, en: https://www.bleepingcomputer.com/news/security/oracle-patches-ebs-zero-day-exploited-in-clop-data-theft-attacks/  
2. AnuPriya. (2025). Oracle Confirms Targeted Attacks on E-business Suite Data via Extortion Emails. Cyber Security News. Recuperado el 06 de octubre de 2025, en: https://cyberpress.org/oracle-attacks-on-e-business/  
3. Kathir, M. (2025). Crowdstrike Alerts on Oracle E-Business Suite 0-day Under Mass Exploitation. GBHackers. Recuperado el 07 de octubre de 2025, en: https://gbhackers.com/oracle-e-business-suite/  
4. Oracle Security Alert Advisory—CVE-2025-61882. (s.f.). Oracle Security Alert Advisory. Recuperado el 06 de octubre de 2025, en: https://www.oracle.com/security-alerts/alert-cve-2025-61882.html  

El nombre es requerido.

El email es requerido.

El email no es válido.

El comentario es requerido.

↻

El captcha es requerido.

Enviar Comentario

Comentarios