ΗΠΑ: Δεκάδες επιχειρήσεις υπέστησαν κλοπή δεδομένων λόγω ευπάθειας της Oracle

Οι ειδικοί στον κυβερνοχώρο της Google μόλις προειδοποίησαν για μια μεγάλης κλίμακας εκστρατεία επίθεσης που πραγματοποίησε η ομάδα χάκερ Clop, με στόχο το λογισμικό Oracle E-Business Suite, η οποία οδήγησε στην κλοπή δεδομένων από δεκάδες οργανισμούς.

Αυτό θεωρείται ως το πρώτο σημάδι ότι το εύρος της εκστρατείας θα μπορούσε να εξαπλωθεί παγκοσμίως.

Σύμφωνα με την Google, η ομάδα Clop εκμεταλλεύτηκε μια σοβαρή ευπάθεια ασφαλείας (zero-day) στο Oracle E-Business Suite, μια πλατφόρμα επιχειρηματικού λογισμικού που χρησιμοποιείται για τη διαχείριση δεδομένων πελατών, οικονομικών και ανθρώπινου δυναμικού...

Η Oracle αναγκάστηκε να κυκλοφορήσει μια επείγουσα ενημέρωση κώδικα για να σταματήσει την συνεχιζόμενη εκμετάλλευση.

Αυτή η ευπάθεια, που αναγνωρίστηκε ως CVE-2025-61882, έχει βαθμολογία σοβαρότητας 9,8/10 και επιτρέπει στους εισβολείς να εκτελούν απομακρυσμένο κώδικα χωρίς έλεγχο ταυτότητας, απλώς μέσω του πρωτοκόλλου HTTP.

Μόλις γίνει επιτυχής εκμετάλλευση, ο χάκερ θα μπορούσε να αποκτήσει τον πλήρη έλεγχο της Ταυτόχρονης Επεξεργασίας του συστήματος Oracle E-Business Suite.

Σύμφωνα με αναλυτές, η εκστρατεία επίθεσης ξεκίνησε στις 10 Ιουλίου 2025, τρεις μήνες πριν οι πρώτοι οργανισμοί εντοπίσουν σημάδια εισβολής στις αρχές Οκτωβρίου.

Στη συνέχεια, στελέχη αρκετών αμερικανικών εταιρειών έλαβαν email με αιτήματα λύτρων, στα οποία χάκερ ισχυρίζονταν ότι είχαν στην κατοχή τους ευαίσθητα αρχεία δεδομένων που είχαν κλαπεί από τα συστήματά τους.

Η Google δήλωσε ότι η ομάδα Clop ήταν ο κύριος εγκέφαλος της εκστρατείας, η οποία βρισκόταν πίσω από μια σειρά επιθέσεων ransomware μεγάλης κλίμακας που εκμεταλλεύτηκαν τρωτά σημεία zero-day σε εργαλεία μεταφοράς αρχείων όπως το MOVEit, το Cleo και το GoAnywhere.

Αρκετοί τεχνικοί δείκτες υποδηλώνουν επίσης μια σύνδεση μεταξύ αυτής της καμπάνιας και της ομάδας FIN11, μιας οικονομικά παρακινημένης συνδικαλιστικής οργάνωσης κυβερνοεγκλήματος, μαζί με τους Scattered Lapsus$ Hunters.

Ο Charles Carmakal, CTO της Mandiant-Google Cloud, επιβεβαίωσε ότι τα email με τα λύτρα στάλθηκαν από εκατοντάδες παραβιασμένους λογαριασμούς email, συμπεριλαμβανομένου τουλάχιστον ενός λογαριασμού που είχε προηγουμένως συνδεθεί με δραστηριότητα FIN11.

Αρχικά, ο Rob Duhart, Chief Security Officer της Oracle, δημοσίευσε μια ειδοποίηση ισχυριζόμενη ότι τα τρωτά σημεία είχαν διορθωθεί τον Ιούλιο, υπονοώντας ότι οι επιθέσεις είχαν τερματιστεί, αλλά η ειδοποίηση αργότερα αφαιρέθηκε.

Λίγες μέρες αργότερα, η Oracle αναγκάστηκε να παραδεχτεί ότι οι χάκερ εξακολουθούσαν να εκμεταλλεύονται το λογισμικό της για να κλέψουν προσωπικά δεδομένα και εταιρικά έγγραφα. Η Oracle κυκλοφόρησε αμέσως μια νέα επείγουσα ενημέρωση κώδικα, επιβεβαιώνοντας την ύπαρξη του zero-day.

Η Google δημοσίευσε διευθύνσεις email, δείκτες παραβίασης (IoCs) και τεχνικές οδηγίες για να βοηθήσει τους επαγγελματίες στον κυβερνοχώρο να ελέγξουν εάν τα συστήματα Oracle που διαθέτουν έχουν παραβιαστεί.

Η Oracle επιμένει ότι τα δεδομένα πληρωμών των πελατών δεν επηρεάστηκαν, αλλά οι ειδικοί προειδοποιούν ότι ενδέχεται να έχουν διαρρεύσει δεδομένα προσωπικού και επιχειρησιακές πληροφορίες.

Οι ειδικοί ασφαλείας συνιστούν στις επιχειρήσεις να ενημερώσουν αμέσως την πιο πρόσφατη ενημέρωση κώδικα (patch) του Oracle E-Business Suite, να παρακολουθούν τα αρχεία καταγραφής πρόσβασης HTTP και τις ασυνήθιστες δραστηριότητες που σχετίζονται με την Ταυτόχρονη Επεξεργασία, καθώς και να πραγματοποιούν εγκληματολογικό έλεγχο εάν υποψιάζονται κάποια εισβολή.

Αυτή η εκστρατεία επίθεσης καταδεικνύει για άλλη μια φορά τον αυξανόμενο κίνδυνο από τα τρωτά σημεία zero-day στο εταιρικό λογισμικό και τονίζει την ανάγκη για ταχεία ενημέρωση κώδικα και προληπτική παρακολούθηση στο πλαίσιο του ολοένα και πιο εξελιγμένου κυβερνοεγκλήματος.

Πηγή: https://www.vietnamplus.vn/my-hang-chuc-doanh-nghiep-bi-danh-cap-du-lieu-do-lo-hong-cua-oracle-post1069449.vnp