Um processo conjunto do Google Threat Intelligence Group (GTIG) e da Mandiant revelou uma campanha de extorsão em larga escala que explora uma vulnerabilidade de dia zero no Oracle E-Business Suite (EBS). O grupo responsável pela operação, que afirma ter afinidade com a marca CL0P, realizou meses de intrusões silenciosas e exfiltração de dados, culminando, a partir de 29 de setembro de 2025, em uma onda de e-mails enviados a diretores de diversas indústrias para forçar o pagamento. A Oracle já disponibilizou patches de emergência e recomenda sua aplicação imediata.
Cenário e Importância
Os ataques têm como vetor principal a exploração da vulnerabilidade CVE-2025-61882, com uma pontuação de 9,8 no CVSS, e utilizam falhas em componentes do EBS expostos à internet. Indícios de atividade maliciosa começaram a ser observados em julho de 2025, com explorações consistentes desde agosto e tentativas de extorsão a partir do final de setembro. O objetivo é comprometer o EBS, um sistema ERP vital para finanças, compras e operações, aproveitando que os dados sensíveis já estão armazenados na aplicação.
Modo de Operação
Os atacantes enviam e-mails de extorsão usando contas comprometidas, apresentando listagens reais de arquivos do EBS para legitimar suas ameaças. A infraestrutura utilizada e os métodos de operação são semelhantes a campanhas anteriores ligadas ao grupo FIN11, porém não há atribuição formal confirmada.
Métodos de Invasão
Os tipos de ataques identificados incluem:
UiServlet: Exploração que combina SSRF, injeção CRLF, bypass de autenticação e injeção XSL para alcançar execução remota de código (RCE). Após a aplicação dos patches, foram notados tempos de espera em alguns logs, indicando mitigação parcial.
SyncServlet: Ataques que permitem RCE sem autenticação, utilizando um gerador de templates maliciosos no banco de dados.
Você está em risco?
A exploração dessa vulnerabilidade representa um aumento significativo no risco, pois os atacantes têm acesso a dados críticos e ocultam suas atividades por meio de técnicas sofisticadas que dificultam a detecção por sistemas de segurança.
Medidas Imediatas
A Oracle e especialistas em segurança recomendam a aplicação imediata de patches, a auditoria de templates XDO, o fechamento de saídas para a internet a partir dos servidores EBS, intensificação da monitorização e a preparação para uma possível resposta às tentativas de extorsão.
Em um ambiente cada vez mais digital e interconectado, a segurança cibernética se torna cada vez mais crítica, exigindo atenção constante das empresas para evitar esses tipos de ataques.
