Oracle vá lỗ hổng zero-day EBS bị khai thác trong các cuộc tấn công đánh cắp dữ liệu Clop

Lỗ hổng được theo dõi có định danh CVE-2025-6188 (điểm CVSS: 9,8), tồn tại trong sản phẩm Oracle Concurrent Processing của Oracle E-Business Suite. “CVE-2025-6188 có thể bị khai thác từ xa mà không cần xác thực, tức là có thể bị khai thác qua mạng mà không cần tên người dùng và mật khẩu. Nếu khai thác thành công, lỗ hổng này có thể dẫn đến việc thực thi mã từ xa”, thông báo cho biết.

Oracle xác nhận lỗ hổng ảnh hưởng đến Oracle E-Business Suite, phiên bản 12.2.3-12.2.14 và đã phát hành bản cập nhật khẩn cấp để giải quyết. Công ty lưu ý rằng, khách hàng cần phải triển khai bản vá Critical Patch Update tháng 10/2023, trước khi có thể cài đặt các bản cập nhật bảo mật mới.

Do lỗ hổng PoC công khai tồn tại và đang bị khai thác tích cực nên quản trị viên Oracle cần cài đặt bản cập nhật bảo mật càng sớm càng tốt.

Liệu có phải là lỗ hổng Zero-day?

Mặc dù, Oracle không tuyên bố rõ ràng rằng đây là lỗ hổng Zero-day, nhưng họ đã chia sẻ các dấu hiệu xâm phạm tương ứng với lỗ hổng Oracle EBS mà kẻ tấn công vừa chia sẻ trên Telegram.

Charles Carmakal, Giám đốc công nghệ của Mandiant Google Cloud cũng xác nhận rằng: CVE-2025-61882 và các lỗ hổng khác được vá vào tháng 7/2025 đã bị nhóm tin tặc Clop khai thác trong các cuộc tấn công đánh cắp dữ liệu vào tháng 8/2025 trên máy chủ Oracle E-Business Suite.

“Clop đã khai thác nhiều lỗ hổng trong Oracle EBS, cho phép chúng đánh cắp lượng lớn dữ liệu từ nhiều nạn nhân vào tháng 8/2025”, Carmakal chia sẻ trên LinkedIn.

Carmakal cho biết thêm, nhiều lỗ hổng đã bị khai thác, bao gồm cả những lỗ hổng đã được vá trong bản cập nhật tháng 7/2025 của Oracle cũng như một lỗ hổng đã được vá mới đây với mã định danh CVE-2025-61882.

Tin tức về chiến dịch tống tiền mới nhất của Clop lần đầu tiên xuất hiện vào đầu tháng 10/2025, khi Mandiant và Google Threat Intelligence Group (GTIG) báo cáo rằng họ đang theo dõi một chiến dịch tấn công mới, trong đó nhiều công ty nhận được email tự nhận là từ những kẻ tấn công.

Những email này thông báo rằng Clop đã đánh cắp dữ liệu từ hệ thống Oracle E-Business Suite của công ty và yêu cầu tiền chuộc để không tiết lộ dữ liệu bị đánh cắp. “Chúng tôi là nhóm CL0P. Gần đây chúng tôi đã xâm nhập vào ứng dụng Oracle E-Business Suite của bạn và sao chép rất nhiều tài liệu. Tất cả các tệp tin riêng tư và thông tin khác hiện đang được lưu trữ trên hệ thống của chúng tôi”, nội dung của email tống tiền. Clop sau đó đã xác nhận với trang tin BleepingComputer rằng họ đứng sau các chiến dịch email tống tiền và cho biết đã khai thác lỗ hổng CVE-2025-6188 của Oracle để đánh cắp dữ liệu. Tuy nhiên, Oracle ban đầu đã liên kết chiến dịch tống tiền Clop với các lỗ hổng đã vá vào tháng 7/2025, thay vì lỗ hổng zero-day mới mà chúng ta hiện biết được sử dụng trong các cuộc tấn công.

Oracle hiện đã chia sẻ các chỉ số xâm phạm đối với lỗ hổng CVE-2025-6188, bao gồm hai địa chỉ IP được phát hiện đang khai thác máy chủ, lệnh mở shell từ xa và kho lưu trữ khai thác cùng các tệp liên quan.