Oracle EBS bị chỉ trích khi Cl0p khai thác lỗ hổng CVE-2025-61882 trong tấn công

[Starlink]

Hôm thứ Hai, CrowdStrike cho biết họ đang tin tưởng một cách vừa phải rằng vụ khai thác lỗ hổng bảo mật mới được tiết lộ trong Oracle E-Business Suite là do một tác nhân đe dọa mà họ theo dõi là Graceful Spider (hay còn gọi là Cl0p ) gây ra và vụ khai thác đầu tiên được biết đến xảy ra vào ngày 9 tháng 8 năm 2025.

Việc khai thác liên quan đến việc khai thác CVE-2025-61882 (điểm CVSS: 9,8), một lỗ hổng nghiêm trọng cho phép thực thi mã từ xa mà không cần xác thực.

Công ty an ninh mạng này cũng lưu ý rằng hiện tại vẫn chưa biết bằng cách nào mà một kênh Telegram "ám chỉ" sự hợp tác giữa Scattered Spider, LAPSUS$ (hay còn gọi là Slippy Spider) và ShinyHunters lại có được lỗ hổng này và liệu họ cùng những kẻ tấn công khác có lợi dụng lỗ hổng này trong các cuộc tấn công thực tế hay không.

Kênh Telegram đã phát hiện ra lỗ hổng được cho là của Oracle EBS, đồng thời chỉ trích chiến thuật của Graceful Spider.

Hoạt động được quan sát cho đến nay liên quan đến một yêu cầu HTTP đến /OA_HTML/SyncServlet, dẫn đến việc bỏ qua xác thực. Sau đó, kẻ tấn công nhắm mục tiêu vào Trình quản lý Mẫu Xuất bản XML của Oracle bằng cách gửi các yêu cầu GET và POST đến /OA_HTML/RF.jsp và /OA_HTML/OA.jsp để tải lên và thực thi một mẫu XSLT độc hại.

Các lệnh trong mẫu độc hại được thực thi khi xem trước, dẫn đến kết nối đi từ quy trình máy chủ web Java đến cơ sở hạ tầng do kẻ tấn công kiểm soát qua cổng 443. Sau đó, kết nối này được sử dụng để tải shell web từ xa nhằm thực thi lệnh và thiết lập tính bền bỉ.

Người ta tin rằng một hoặc nhiều tác nhân đe dọa đang sở hữu lỗ hổng CVE-2025-61882 nhằm mục đích đánh cắp dữ liệu.

"Việc tiết lộ bằng chứng khái niệm và bản vá CVE-2025-61882 gần như chắc chắn sẽ khuyến khích các tác nhân đe dọa - đặc biệt là những tác nhân quen thuộc với Oracle EBS - tạo ra các POC được vũ khí hóa và cố gắng lợi dụng chúng để chống lại các ứng dụng EBS tiếp xúc với internet", báo cáo cho biết.

Trong một phân tích riêng biệt, WatchTowr Labs cho biết, "Chuỗi này thể hiện trình độ kỹ năng và nỗ lực cao, với ít nhất năm lỗi riêng biệt được phối hợp với nhau để đạt được khả năng thực thi mã từ xa đã được xác thực trước." Toàn bộ chuỗi sự kiện như sau -

    Gửi yêu cầu HTTP POST chứa XML được tạo thủ công đến /OA_HTML/configurator/UiServlet để ép máy chủ phụ trợ gửi các yêu cầu HTTP tùy ý bằng cách tấn công Server-Side Request Forgery (SSRF)
    Sử dụng lệnh CRLF (Carriage Return/Line Feed) để đưa các tiêu đề tùy ý vào yêu cầu HTTP được kích hoạt bởi SSRF đã được xác thực trước
    Sử dụng lỗ hổng này để lén lút gửi yêu cầu đến ứng dụng Oracle EBS được kết nối internet thông qua "apps.example.com:7201/OA_HTML/help/../ieshostedsurvey.jsp" và tải mẫu XSLT độc hại

Về cơ bản, cuộc tấn công này lợi dụng thực tế là tệp JSP có thể tải một bảng định kiểu không đáng tin cậy từ một URL từ xa, mở đường cho kẻ tấn công thực thi mã tùy ý.

"Sự kết hợp này cho phép kẻ tấn công kiểm soát việc đóng khung yêu cầu thông qua SSRF và sau đó tái sử dụng cùng một kết nối TCP để xâu chuỗi các yêu cầu bổ sung, tăng độ tin cậy và giảm nhiễu", công ty cho biết. "Kết nối HTTP liên tục, còn được gọi là HTTP keep-alive hoặc tái sử dụng kết nối, cho phép một kết nối TCP duy nhất mang nhiều cặp yêu cầu/phản hồi HTTP thay vì mở một kết nối mới cho mỗi lần trao đổi."

CVE-2025-61882 hiện đã được Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA) thêm vào danh mục Lỗ hổng bảo mật đã biết ( KEV ), lưu ý rằng lỗ hổng này đã được sử dụng trong các chiến dịch ransomware, đồng thời kêu gọi các cơ quan liên bang áp dụng bản sửa lỗi trước ngày 27 tháng 10 năm 2025.

Jake Knott, nhà nghiên cứu bảo mật chính tại watchTowr, cho biết trong một tuyên bố: "Cl0p đã khai thác nhiều lỗ hổng trong Oracle EBS kể từ ít nhất tháng 8 năm 2025, đánh cắp một lượng lớn dữ liệu từ nhiều nạn nhân và đã gửi email tống tiền cho một số nạn nhân đó kể từ thứ Hai tuần trước".

"Dựa trên bằng chứng, chúng tôi tin rằng đây là hoạt động của Cl0p, và chúng tôi hoàn toàn dự đoán sẽ thấy sự khai thác hàng loạt, bừa bãi từ nhiều nhóm trong vài ngày tới. Nếu bạn đang chạy Oracle EBS, đây là báo động đỏ của bạn. Hãy vá ngay lập tức, truy tìm tích cực và thắt chặt kiểm soát — thật nhanh chóng."