- 22,257
- 46
- 8 Ноя 2022
Oracle полгода игнорировала брешь, пока хакеры похищали данные.
Группа Cl0p нанесла удар по Oracle, воспользовавшись критической уязвимостью нулевого дня ( Zero Day ) в программном пакете E-Business Suite. Специалисты утверждают , что атаки с применением этой уязвимости продолжаются с июля 2025 года и уже затронули множество крупных организаций по всему миру.
Публикация о компрометации Oracle появилась на даркнете на странице Cl0p в четверг. Группа выложила только базовую информацию о компании — адрес, телефон, сайт, отрасль и годовой доход — а также стандартную издёвку: «Компания не заботится о своих клиентах. Она проигнорировала их безопасность!!!». Однако уже через несколько часов сообщение исчезло с сайта. Предположительно, исчезновение может свидетельствовать о начале переговоров между Cl0p и представителями Oracle.
Запись о взломе Oracle на сайте Cl0p (@TriptySecCTI)
О взломе публично сообщил исследователь Доминик Альвиери, сославшись на утечку, скриншот которой был сделан аналитиком Fujitsu UK. Он подтвердил, что атака была осуществлена через уязвимость CVE-2025-61882, которая позволяет выполнить удалённый код в E-Business Suite без аутентификации. Согласно данным Google, Cl0p объединил несколько багов в единую цепочку эксплуатации, чтобы добиться несанкционированного доступа к данным и системам.
Oracle подтвердила существование проблемы лишь 2 октября, когда многие компании уже получили вымогательские письма от Cl0p. По словам пострадавших, сообщения начинались с обращения «Уважаемый директор» и содержали уведомление о том, что из системы EBS были скопированы конфиденциальные документы. У злоумышленников оказался целый массив корпоративных файлов, который они предлагали «спасти» за выкуп. В письмах Cl0p намекал на репутационные риски, призывая не затягивать с оплатой.
Дополнительную сложность ситуации усугубил неудачный первый исправляющий релиз от Oracle, который не устранял уязвимость полностью. Только спустя 6 дней появился рабочее обновление, однако к тому моменту многие клиенты уже были скомпрометированы.
Среди пострадавших оказались такие известные организации, как Национальная служба здравоохранения Великобритании (данные были опубликованы), страховая компания Humana, автопроизводитель Mazda (в том числе американское подразделение), университет Phoenix, Harvard University, авиакомпания Envoy Air, провайдер DXC Technology и система государственных школ Чикаго — четвёртая по величине в США. Газета The Washington Post также подтвердила инцидент и уведомила тысячи читателей о возможной утечке персональных данных.
Oracle E-Business Suite — это широко используемый набор бизнес-приложений для управления клиентами, поставками, логистикой, производством и бухгалтерией. Он развёрнут в тысячах компаний по всему миру, что делает его привлекательной целью для атак. Благодаря уязвимостям, включая CVE-2025-61882, Cl0p смог реализовать неаутентифицированный RCE-доступ и извлечь ценные данные напрямую из корпоративных систем.
Группа Cl0p давно зарекомендовала себя как один из самых активных игроков на рынке вымогательства. Они известны масштабными кампаниями с цепочками из нескольких уязвимостей. В прошлом году именно Cl0p стоял за крупнейшим инцидентом с использованием MOVEit Transfer , в результате которого пострадали более 2600 организаций и почти 90 миллионов человек. До этого они эксплуатировали бреши в Fortra GoAnywhere и Cleo.
По наблюдениям специалистов, Cl0p действует методично и нацелен на максимальную монетизацию взломов. При этом группа охотно провоцирует своих жертв: публикует насмешки, оформляет записи с издёвками и вымогает деньги, играя на репутационных страхах компаний. А в случае с Oracle, похоже, получила особое удовольствие, взломав вендора через его же продукт.
Группа Cl0p нанесла удар по Oracle, воспользовавшись критической уязвимостью нулевого дня ( Zero Day ) в программном пакете E-Business Suite. Специалисты утверждают , что атаки с применением этой уязвимости продолжаются с июля 2025 года и уже затронули множество крупных организаций по всему миру.
Публикация о компрометации Oracle появилась на даркнете на странице Cl0p в четверг. Группа выложила только базовую информацию о компании — адрес, телефон, сайт, отрасль и годовой доход — а также стандартную издёвку: «Компания не заботится о своих клиентах. Она проигнорировала их безопасность!!!». Однако уже через несколько часов сообщение исчезло с сайта. Предположительно, исчезновение может свидетельствовать о начале переговоров между Cl0p и представителями Oracle.
Запись о взломе Oracle на сайте Cl0p (@TriptySecCTI)
О взломе публично сообщил исследователь Доминик Альвиери, сославшись на утечку, скриншот которой был сделан аналитиком Fujitsu UK. Он подтвердил, что атака была осуществлена через уязвимость CVE-2025-61882, которая позволяет выполнить удалённый код в E-Business Suite без аутентификации. Согласно данным Google, Cl0p объединил несколько багов в единую цепочку эксплуатации, чтобы добиться несанкционированного доступа к данным и системам.
Oracle подтвердила существование проблемы лишь 2 октября, когда многие компании уже получили вымогательские письма от Cl0p. По словам пострадавших, сообщения начинались с обращения «Уважаемый директор» и содержали уведомление о том, что из системы EBS были скопированы конфиденциальные документы. У злоумышленников оказался целый массив корпоративных файлов, который они предлагали «спасти» за выкуп. В письмах Cl0p намекал на репутационные риски, призывая не затягивать с оплатой.
Дополнительную сложность ситуации усугубил неудачный первый исправляющий релиз от Oracle, который не устранял уязвимость полностью. Только спустя 6 дней появился рабочее обновление, однако к тому моменту многие клиенты уже были скомпрометированы.
Среди пострадавших оказались такие известные организации, как Национальная служба здравоохранения Великобритании (данные были опубликованы), страховая компания Humana, автопроизводитель Mazda (в том числе американское подразделение), университет Phoenix, Harvard University, авиакомпания Envoy Air, провайдер DXC Technology и система государственных школ Чикаго — четвёртая по величине в США. Газета The Washington Post также подтвердила инцидент и уведомила тысячи читателей о возможной утечке персональных данных.
Oracle E-Business Suite — это широко используемый набор бизнес-приложений для управления клиентами, поставками, логистикой, производством и бухгалтерией. Он развёрнут в тысячах компаний по всему миру, что делает его привлекательной целью для атак. Благодаря уязвимостям, включая CVE-2025-61882, Cl0p смог реализовать неаутентифицированный RCE-доступ и извлечь ценные данные напрямую из корпоративных систем.
Группа Cl0p давно зарекомендовала себя как один из самых активных игроков на рынке вымогательства. Они известны масштабными кампаниями с цепочками из нескольких уязвимостей. В прошлом году именно Cl0p стоял за крупнейшим инцидентом с использованием MOVEit Transfer , в результате которого пострадали более 2600 организаций и почти 90 миллионов человек. До этого они эксплуатировали бреши в Fortra GoAnywhere и Cleo.
По наблюдениям специалистов, Cl0p действует методично и нацелен на максимальную монетизацию взломов. При этом группа охотно провоцирует своих жертв: публикует насмешки, оформляет записи с издёвками и вымогает деньги, играя на репутационных страхах компаний. А в случае с Oracle, похоже, получила особое удовольствие, взломав вендора через его же продукт.
- Источник новости
- www.securitylab.ru
