EE.UU.: Decenas de empresas sufrieron el robo de datos debido a la vulnerabilidad de Oracle

Los expertos en ciberseguridad de Google acaban de advertir sobre una campaña de ataques a gran escala llevada a cabo por el grupo de hackers Clop, dirigida al software Oracle E-Business Suite, lo que provocó el robo de datos de decenas de organizaciones.

Esto se considera como la primera señal de que el alcance de la campaña podría extenderse a nivel mundial.

Según Google, el grupo Clop aprovechó una grave vulnerabilidad de seguridad (día cero) en Oracle E-Business Suite, una plataforma de software empresarial utilizada para gestionar datos de clientes, finanzas y recursos humanos...

Oracle se vio obligado a lanzar un parche de emergencia para detener la vulnerabilidad en curso.

Esta vulnerabilidad, identificada como CVE-2025-61882, tiene una puntuación de gravedad de 9.8/10 y permite a los atacantes ejecutar código remoto sin autenticación, simplemente accediendo a través del protocolo HTTP.

Una vez explotado con éxito, el hacker podría obtener control completo del procesamiento concurrente del sistema Oracle E-Business Suite.

Según los analistas, la campaña de ataques comenzó el 10 de julio de 2025, tres meses antes de que las primeras organizaciones detectaran señales de intrusión a principios de octubre.

Los ejecutivos de varias empresas estadounidenses recibieron correos electrónicos pidiendo rescate en los que los piratas informáticos afirmaban estar en posesión de archivos de datos confidenciales robados de sus sistemas.

Google dijo que el grupo Clop era el principal cerebro de la campaña, que ha estado detrás de una serie de ataques de ransomware a gran escala que explotaron vulnerabilidades de día cero en herramientas de transferencia de archivos como MOVEit, Cleo y GoAnywhere.

Varios indicadores técnicos también sugieren un vínculo entre esta campaña y el grupo FIN11, un sindicato de delitos cibernéticos con motivaciones financieras, junto con Scattered Lapsus$ Hunters.

Charles Carmakal, director de tecnología de Mandiant-Google Cloud, confirmó que los correos electrónicos de rescate se enviaron desde cientos de cuentas de correo electrónico comprometidas, incluida al menos una cuenta previamente asociada con la actividad de FIN11.

Inicialmente, el director de seguridad de Oracle, Rob Duhart, publicó un aviso afirmando que las vulnerabilidades se habían solucionado en julio, lo que implicaba que los ataques habían terminado, pero el aviso fue eliminado posteriormente.

Apenas unos días después, Oracle se vio obligado a admitir que los hackers seguían explotando su software para robar datos personales y documentos corporativos. Oracle lanzó inmediatamente un nuevo parche de emergencia que confirmaba la existencia del día cero.

Google ha publicado direcciones de correo electrónico, indicadores de compromiso (IoC) y orientación técnica para ayudar a los profesionales de la ciberseguridad a comprobar si sus sistemas Oracle se han visto comprometidos.

Oracle insiste en que los datos de pago de los clientes no se vieron afectados, pero los expertos advierten que es posible que se hayan filtrado datos personales e información operativa.

Los expertos en seguridad recomiendan que las empresas actualicen inmediatamente el último parche de Oracle E-Business Suite; monitoreen los registros de acceso HTTP y las actividades inusuales relacionadas con el procesamiento concurrente, así como también realicen una auditoría forense si sospechan de una intrusión.

Esta campaña de ataque muestra una vez más el riesgo creciente de vulnerabilidades de día cero en el software empresarial y enfatiza la necesidad de una rápida aplicación de parches y un monitoreo proactivo en el contexto de un cibercrimen cada vez más sofisticado.

Fuente: https://www.vietnamplus.vn/my-hang-chuc-doanh-nghiep-bi-danh-cap-du-lieu-do-lo-hong-cua-oracle-post1069449.vnp