10 Oct Oracle es atacado… inicio en Julio 2025 en Business Suite zero-day (CVE-2025-61882)
Un ataque de extorsión masivo ha comprometido servidores de Oracle E-Business Suite (EBS) en múltiples empresas mediante la explotación de una vulnerabilidad crítica de día cero identificada como CVE-2025-61882. Esta falla permite ejecución remota de código sin autenticación en Oracle EBS.
Desde Julio de 2025 los atacantes obtuvieron acceso no autorizado a sistemas EBS y robaron grandes volúmenes de información corporativa. A partir del 29 de septiembre iniciaron un envío masivo de correos electrónicos a altos ejecutivos de las organizaciones afectadas, alegando el robo de datos sensibles y exigiendo pagos de rescate para no divulgar la información
🚨 Google confirms dozens of organizations breached via Oracle E-Business Suite zero-day (CVE-2025-61882).
Attackers exploited the flaw since July 2025, using multi-stage Java implants and extortion tactics.
🔹 Oracle issued an emergency patch Oct 4
🔹 Exploit code is now… pic.twitter.com/KzdiG9iA8s— The Hacker News (@TheHackersNews) October 10, 2025
El grupo de amenaza se identifica con la marca de ransomware CL0P (Clop), vinculada históricamente al colectivo FIN11, conocido por campañas de extorsión basadas en robo de datos. Los atacantes desplegaron malware personalizado en los servidores comprometidos – incluido un descargador llamado GOLDVEIN y una puerta trasera tipo servlet filter denominada SAGEWAVE – para mantener acceso persistente y extraer datos de las víctimas.
Oracle confirmó el incidente y el 4 de octubre de 2025 emitió parches de emergencia para solucionar la vulnerabilidad en Oracle EBS, instando a sus clientes a aplicarlos de inmediato.
Tanto Oracle como equipos de seguridad de Google y Mandiant participaron en la investigación, indicando que decenas de organizaciones a nivel mundial podrían haber sido afectadas por esta campaña. Las empresas que utilizan Oracle EBS deben verificar si sus sistemas están actualizados y revisar sus registros en busca de signos de intrusión, ya que el riesgo de ataques similares sigue vigente hasta aplicar los parches correspondientes
“La vulnerabilidad CVE-2025-61882 y su explotación
La falla CVE-2025-61882 corresponde a una vulnerabilidad crítica en Oracle E-Business Suite (componente de Business Intelligence Publisher) que permite ejecución remota de código (RCE) sin autenticación previa. Con una severidad de CVSS 9.8, esta vulnerabilidad puede ser explotada de forma remota a través de la red sin requerir usuario ni contraseña, lo que la hace especialmente peligrosa. Oracle informó inicialmente que los atacantes podrían haber aprovechado vulnerabilidades conocidas ya parchadas en el Critical Patch Update (CPU) de julio de 2025. De hecho, en dicha actualización de julio se corrigieron nueve fallos en módulos de EBS. Sin embargo, al profundizar en la investigación, Oracle descubrió que los agresores utilizaron un nuevo exploit de día cero no cubierto en parches previos. Esta vulnerabilidad zero-day fue oficialmente reconocida como CVE-2025-61882 durante la respuesta al incidente, y Oracle publicó un parche de emergencia el 4 de octubre de 2025 para subsanarla “
- Google Threat Intelligence & Mandiant – Informe sobre campaña CL0P/FIN11 (octubre 2025)
- Oracle Security Alert – CVE-2025-61882 (4 de octubre de 2025)
- Tenable – Análisis técnico de CVE-2025-61882 y parches
- CrowdStrike – Descripción técnica del malware SAGEWAVE y GOLDVEIN
- Reuters – Extortion emails follow Oracle EBS data breach
- The Hacker News – Ataque masivo a Oracle E-Business Suite por CL0P/FIN11
- eSentire – Análisis técnico: GOLDVEIN y SAGEWAVE
- Cybereason – Campaña de extorsión FIN11 y cadena de explotación
No Comments