CrowdStrike dijo el lunes que está atribuyendo la explotación de una defecto de seguridad recientemente revelada en Oracle E-Business Suite con confianza moderada a un actor de amenaza que rastrea tanto Araña elegante (incluso conocido como CL0P), y que la primera explotación conocida ocurrió el 9 de agosto de 2025.
La explotación implica la explotación de CVE-2025-61882 (puntaje CVSS: 9.8), una vulnerabilidad crítica que facilita la ejecución del código remoto sin autenticación.
La compañía de seguridad cibernética incluso señaló que actualmente no se sabe cómo un canal de telegrama “insinuante” de la colaboración entre la araña dispersa, Lapsus $ (incluso conocido como Slippy Spider) y Shinyhunters entró en posesión de una exploit para el defecto, y si ellos y otros actores de amenazas lo han opacado en ataques de todos los títulos.
Se ha observado que el canal Telegram compartió la supuesta exploit de Oracle EBS, al tiempo que critica las tácticas de Spider de Greyful Spider.
La actividad observada hasta ahora implica una solicitud HTTP a /OA_HTML /SyncServlet, lo que resulta en un bypass de autenticación. Luego, el atacante se dirige al director de plantilla del editor XML de Oracle al emitir solicitudes Get and Post a /oa_html/rf.jsp y /oa_html/oa.jsp para cargar y ejecutar una plantilla XSLT maliciosa,
Los comandos en la plantilla maliciosa se ejecutan cuando se observa, lo que resulta en una conexión saliente desde el proceso del servidor web Java a la infraestructura controlada por los atacantes sobre el puerto 443. La conexión se usa después para cargar de forma remota conchas web para ejecutar comandos y establecer persistencia.
Se cree que uno o más actores de amenaza están en posesión de la exploit CVE-2025-61882 para fines de exfiltración de datos.
“La divulgación de prueba de concepto y la libertad de parche CVE-2025-61882 casi seguramente fomentarán a los actores de amenaza, particularmente aquellos familiarizados con Oracle EBS, a crear POC armados e intentar aprovecharlos contra aplicaciones EBS expuestas a Internet”, dijo.
En un disección separado, WatchTowr Labs dijo: “La cautiverio demuestra un parada nivel de tacto y esfuerzo, con al menos cinco errores distintos orquestados juntos para alcanzar la ejecución de código remoto preautenticado”. Toda la secuencia de eventos es la próximo –
- Envíe una solicitud de publicación HTTP que contenga un XML diseñado a/OA_HTML/Configurator/UIServlet para coaccionar el servidor de backend para despachar solicitudes HTTP arbitrarias por medio de un ataque de falsificación del banda del servidor (SSRF) Ataque
- Utilice una inyección de retorno de carro/comestibles de término (CRLF) para inyectar encabezados arbitrarios en la solicitud HTTP activada por el SSRF preautenticado
- Use esta vulnerabilidad para contrabandear solicitudes a una aplicación Oracle EBS expuesta a Internet a través de “Apps.example.com:7201/oa_html/help/../ieshostedsurvey.jsp” y cargue una plantilla XSLT maliciosa
El ataque, en esencia, aprovecha el hecho de que el archivo JSP puede cargar una hoja de estilo no confiable de una URL remota, abriendo la puerta a un atacante para alcanzar la ejecución de código arbitraria.
“Esta combinación permite que una solicitud de control del atacante a través del SSRF y luego reutilice la misma conexión TCP a las solicitudes adicionales de la cautiverio, aumentando la confiabilidad y la reducción del ruido”, dijo la compañía. “Las conexiones persistentes HTTP, incluso conocidas como HTTP Keep-ALIVE o reutilización de conexión, deja que una sola conexión TCP conlleva múltiples pares de solicitud/respuesta HTTP en punto de destapar una nueva conexión para cada intercambio”.
Desde entonces, se ha adjunto CVE-2025-61882 al catálogo de vulnerabilidades explotadas (KEV) conocidas por la Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA), señalando que se ha utilizado en campañas de ransomware, instando a las agencias federales a aplicar las soluciones antiguamente del 27 de octubre de 2025.
“CL0P ha estado explotando múltiples vulnerabilidades en Oracle EBS desde al menos agosto de 2025, robando grandes cantidades de datos de varias víctimas, y ha estado enviando correos electrónicos de trastorno a algunas de esas víctimas desde el lunes pasado”, dijo Jake Knott, investigador principal de seguridad en Watchtowr, en un comunicado.
“Según la evidencia, creemos que esta es la actividad de CL0P, y esperamos ver la masa, la explotación indiscriminada de múltiples grupos en cuestión de días. Si ejecuta Oracle EBS, esta es su alerta roja. Parche de inmediato, busque agresivamente y apriete sus controles, rápido”.
