Федеральные кибервласти и охотники за угрозами насторожились после того, как в субботу Oracle раскрыла информацию об активно эксплуатируемой уязвимости нулевого дня, которую группа вируса-вымогателя Clop использовала для запуска широкомасштабной кампании по краже данных и вымогательству, о которой исследователи изначально предупреждали на прошлой неделе.
Oracle устранила критическую уязвимость CVE-2025-61882, затрагивающую Oracle E-Business Suite, в субботнем бюллетене по безопасности и рекомендовала клиентам как можно скорее установить исправление. Ранее технологический гигант заявлял, что ему известно о получении некоторыми клиентами писем с вымогательством , и что уязвимости, исправленные в июльском обновлении безопасности, потенциально связаны с этой уязвимостью.
Роб Дюхарт, директор по безопасности Oracle Security, обновил свой пост в блоге в субботу, чтобы предупредить клиентов об уязвимости нулевого дня. Oracle не заявила, что уязвимость нулевого дня активно эксплуатируется, но предоставила признаки взлома, которые косвенно подтверждают, что уязвимость эксплуатировалась в реальных условиях.
В понедельник Агентство по кибербезопасности и безопасности инфраструктуры добавило уязвимость CVE-2025-61882 в свой каталог известных эксплуатируемых уязвимостей , отметив, что она использовалась в кампаниях по вымогательству.
Бретт Лезерман, помощник директора киберотдела ФБР, охарактеризовал уязвимость нулевого дня как чрезвычайную ситуацию, подвергающую среды Oracle E-Business Suite риску полной компрометации.
«Oracle E-Business Suite остается базовой системой планирования ресурсов предприятия для крупных предприятий и организаций государственного сектора, а это значит, что у злоумышленников есть все стимулы быстро превратить ее в оружие», — сказал он в сообщении на LinkedIn .
Уязвимость нулевого дня — не единственная проблема, с которой столкнулись Oracle и её клиенты. По словам технического директора Mandiant Consulting Чарльза Кармакала, в августе Clop воспользовался несколькими уязвимостями, включая уязвимость нулевого дня, в Oracle E-Business Suite, чтобы похитить большие объёмы данных у нескольких жертв.
Исследователи watchTowr воспроизвели полную цепочку эксплойта после проверки концепции и опубликовали блок-схему, иллюстрирующую, как злоумышленники объединяют в цепочку несколько уязвимостей.
«Эта цепочка демонстрирует высокий уровень мастерства и усилий: как минимум пять отдельных ошибок были объединены вместе для обеспечения удалённого выполнения кода с предварительной аутентификацией», — написали исследователи watchTowr в блоге в понедельник. Компания, специализирующаяся на кибербезопасности, заявила о высокой вероятности обнаружения новых уязвимостей в Oracle E-Business Suite, связанных с этой кампанией.
Уязвимость нулевого дня, имеющая рейтинг CVSS 9,8, может быть эксплуатирована удаленно без аутентификации, что приведет к удаленному выполнению кода.
Значительная задержка между атаками и раскрытием Oracle информации об уязвимости нулевого дня свидетельствует о том, что Clop в течение нескольких месяцев взламывал среды клиентов Oracle E-Business Suite и похищал данные из них. Исследователи не знали об атаках, пока руководители предполагаемых организаций-жертв не получили электронные письма с требованием вымогательства и выплат.
Исследователи CrowdStrike заявили, что первая известная эксплуатация уязвимости произошла 9 августа , за восемь недель до того, как Oracle раскрыла и исправила уязвимость нулевого дня.
Число организаций, пострадавших от серии атак Clop, остаётся неизвестным, однако исследователи выявили жертв в различных секторах и регионах. По данным Halcyon, требования Clop о выкупе достигли 50 миллионов долларов.
«До сих пор мы видели требования на семи- и восьмизначные суммы», — рассказала CyberScoop Синтия Кайзер, старший вице-президент центра исследований программ-вымогателей компании Halcyon.
«Эта группа печально известна скрытой массовой кражей данных, которая усиливает их влияние в переговорах о выкупе», — сказала она.
Clop — это группа вирусов-вымогателей, успешно проникшая в системы нескольких поставщиков технологий, что позволило ей похитить данные многих клиентов. Эта группа специализируется на эксплуатации уязвимостей в сервисах передачи файлов для проведения масштабных атак.
Массовая эксплуатация Clop произошла в 2023 году, когда он проник в среду MOVEit и в конечном итоге раскрыл данные более 2300 организаций, что сделало эту кибератаку самой крупной и значимой в том году.
По словам Кайзера, группировка движима прибылью, поскольку действует в киберпреступной среде, связанной с Россией. «Операции Clop могут одновременно извлекать финансовую выгоду и приносить результаты, полезные государственным структурам, например, сбор данных, срыв деятельности или давление на организации, на которые она направлена».
Oracle устранила критическую уязвимость CVE-2025-61882, затрагивающую Oracle E-Business Suite, в субботнем бюллетене по безопасности и рекомендовала клиентам как можно скорее установить исправление. Ранее технологический гигант заявлял, что ему известно о получении некоторыми клиентами писем с вымогательством , и что уязвимости, исправленные в июльском обновлении безопасности, потенциально связаны с этой уязвимостью.
Роб Дюхарт, директор по безопасности Oracle Security, обновил свой пост в блоге в субботу, чтобы предупредить клиентов об уязвимости нулевого дня. Oracle не заявила, что уязвимость нулевого дня активно эксплуатируется, но предоставила признаки взлома, которые косвенно подтверждают, что уязвимость эксплуатировалась в реальных условиях.
В понедельник Агентство по кибербезопасности и безопасности инфраструктуры добавило уязвимость CVE-2025-61882 в свой каталог известных эксплуатируемых уязвимостей , отметив, что она использовалась в кампаниях по вымогательству.
Бретт Лезерман, помощник директора киберотдела ФБР, охарактеризовал уязвимость нулевого дня как чрезвычайную ситуацию, подвергающую среды Oracle E-Business Suite риску полной компрометации.
«Oracle E-Business Suite остается базовой системой планирования ресурсов предприятия для крупных предприятий и организаций государственного сектора, а это значит, что у злоумышленников есть все стимулы быстро превратить ее в оружие», — сказал он в сообщении на LinkedIn .
Уязвимость нулевого дня — не единственная проблема, с которой столкнулись Oracle и её клиенты. По словам технического директора Mandiant Consulting Чарльза Кармакала, в августе Clop воспользовался несколькими уязвимостями, включая уязвимость нулевого дня, в Oracle E-Business Suite, чтобы похитить большие объёмы данных у нескольких жертв.
Исследователи watchTowr воспроизвели полную цепочку эксплойта после проверки концепции и опубликовали блок-схему, иллюстрирующую, как злоумышленники объединяют в цепочку несколько уязвимостей.
«Эта цепочка демонстрирует высокий уровень мастерства и усилий: как минимум пять отдельных ошибок были объединены вместе для обеспечения удалённого выполнения кода с предварительной аутентификацией», — написали исследователи watchTowr в блоге в понедельник. Компания, специализирующаяся на кибербезопасности, заявила о высокой вероятности обнаружения новых уязвимостей в Oracle E-Business Suite, связанных с этой кампанией.
Уязвимость нулевого дня, имеющая рейтинг CVSS 9,8, может быть эксплуатирована удаленно без аутентификации, что приведет к удаленному выполнению кода.
Значительная задержка между атаками и раскрытием Oracle информации об уязвимости нулевого дня свидетельствует о том, что Clop в течение нескольких месяцев взламывал среды клиентов Oracle E-Business Suite и похищал данные из них. Исследователи не знали об атаках, пока руководители предполагаемых организаций-жертв не получили электронные письма с требованием вымогательства и выплат.
Исследователи CrowdStrike заявили, что первая известная эксплуатация уязвимости произошла 9 августа , за восемь недель до того, как Oracle раскрыла и исправила уязвимость нулевого дня.
Число организаций, пострадавших от серии атак Clop, остаётся неизвестным, однако исследователи выявили жертв в различных секторах и регионах. По данным Halcyon, требования Clop о выкупе достигли 50 миллионов долларов.
«До сих пор мы видели требования на семи- и восьмизначные суммы», — рассказала CyberScoop Синтия Кайзер, старший вице-президент центра исследований программ-вымогателей компании Halcyon.
«Эта группа печально известна скрытой массовой кражей данных, которая усиливает их влияние в переговорах о выкупе», — сказала она.
Clop — это группа вирусов-вымогателей, успешно проникшая в системы нескольких поставщиков технологий, что позволило ей похитить данные многих клиентов. Эта группа специализируется на эксплуатации уязвимостей в сервисах передачи файлов для проведения масштабных атак.
Массовая эксплуатация Clop произошла в 2023 году, когда он проник в среду MOVEit и в конечном итоге раскрыл данные более 2300 организаций, что сделало эту кибератаку самой крупной и значимой в том году.
По словам Кайзера, группировка движима прибылью, поскольку действует в киберпреступной среде, связанной с Россией. «Операции Clop могут одновременно извлекать финансовую выгоду и приносить результаты, полезные государственным структурам, например, сбор данных, срыв деятельности или давление на организации, на которые она направлена».
