Nhóm ransomware khét tiếng Cl0p đã và đang tích cực thực hiện khai thác zero-day Oracle EBS nghiêm trọng, nhắm mục tiêu vào các khách hàng doanh nghiệp thông qua lỗ hổng CVE-2025-61882 trong bộ ứng dụng Oracle E-Business Suite (EBS).

Chiến dịch tấn công tinh vi này đã thúc đẩy Oracle ban hành cảnh báo bảo mật khẩn cấp sau khi xuất hiện các báo cáo về việc nhiều tổ chức nhận được email tống tiền từ những kẻ tấn công. Oracle đã xác nhận việc khai thác CVE-2025-61882, một lỗ hổng thực thi mã từ xa (RCE) nghiêm trọng ảnh hưởng đến thành phần Tích hợp Business Intelligence Publisher (BI Publisher) của Oracle EBS.

Phân Tích Kỹ Thuật Lỗ Hổng CVE-2025-61882

Lỗ hổng CVE-2025-61882 được gán điểm CVSS tối đa là 9.8. Điều này cho thấy mức độ nghiêm trọng cực kỳ cao, có khả năng dẫn đến việc hệ thống bị xâm nhập hoàn toàn.

Lỗi zero-day này ảnh hưởng đến các phiên bản Oracle E-Business Suite từ 12.2.3 đến 12.2.14. Hàng nghìn tổ chức trên toàn thế giới phụ thuộc vào bộ ứng dụng kinh doanh tích hợp của Oracle cho các hoạt động quan trọng như quản lý đơn hàng, hậu cần và mua sắm có thể bị ảnh hưởng.

Các nhà nghiên cứu bảo mật đã xác định Cl0p là một nhóm ransomware cực kỳ tinh vi. Nhóm này hoạt động từ tháng 2 năm 2019 và nổi tiếng với việc nhắm mục tiêu cụ thể vào các lỗ hổng zero-day trong phần mềm truyền tệp và phần mềm kinh doanh cấp doanh nghiệp.

Để hiểu rõ hơn về các chi tiết kỹ thuật của lỗ hổng và chiến dịch khai thác, bạn có thể tham khảo phân tích từ các chuyên gia bảo mật tại Tenable.

Đặc Điểm Khai Thác và Ảnh Hưởng Hệ Thống

Lỗ hổng cho phép thực thi mã từ xa, đồng nghĩa với việc kẻ tấn công có thể chạy các lệnh tùy ý trên hệ thống bị ảnh hưởng mà không cần xác thực hợp lệ. Điều này cấp cho chúng quyền kiểm soát đáng kể đối với môi trường Oracle EBS.

Các chức năng bị ảnh hưởng trực tiếp bao gồm thành phần tích hợp BI Publisher, thường được sử dụng để tạo báo cáo và phân tích dữ liệu. Việc kiểm soát thành phần này có thể dẫn đến việc truy cập và trích xuất thông tin nhạy cảm.

Chiến Thuật Mới Của Cl0p Ransomware

Nhóm Cl0p ransomware, còn liên kết với các nhóm tác nhân đe dọa TA505 và FIN11, trước đây đã từng khai thác zero-day trong các nền tảng Accellion, MOVEit Transfer, GoAnywhere và Cleo. Trong chiến dịch mới nhất này, Cl0p đã chuyển từ mã hóa tệp truyền thống sang các chiến thuật rò rỉ dữ liệu và tống tiền thuần túy.

Khách hàng của Oracle bắt đầu nhận được email đe dọa vào ngày 2 tháng 10. Các email này tuyên bố rằng kẻ tấn công đã đánh cắp thành công thông tin nhạy cảm từ hệ thống EBS của họ.

Các Lỗ Hổng Phụ Đã Bị Khai Thác

Điều tra sơ bộ của Oracle đã tiết lộ rằng các tác nhân đe dọa đã khai thác nhiều lỗ hổng. Bao gồm chín CVE bổ sung đã được vá trong bản cập nhật Critical Patch Update (CPU) tháng 7 năm 2025.

Các lỗ hổng này có điểm CVSS dao động từ 5.4 đến 8.1. Chúng ảnh hưởng đến nhiều thành phần EBS khác nhau, bao gồm Oracle Lease and Finance Management, Mobile Field Service và Universal Work Queue.

Biện Pháp Khắc Phục và Khuyến Nghị Bảo Mật

Oracle đã phát hành các bản vá cho tất cả các lỗ hổng CVE-2025-61882 và các lỗ hổng đã được xác định khác. Tuy nhiên, các tổ chức bắt buộc phải áp dụng bản CPU tháng 10 năm 2023 như một điều kiện tiên quyết trước khi cài đặt các bản cập nhật bảo mật mới nhất.

Việc không tuân thủ thứ tự vá lỗi này có thể khiến hệ thống vẫn dễ bị tấn công.

Khuyến Nghị Khẩn Cấp

Các chuyên gia bảo mật đặc biệt khuyến nghị rằng tất cả khách hàng sử dụng Oracle EBS. Cần phải ngay lập tức đánh giá mức độ phơi nhiễm của hệ thống và áp dụng các bản vá có sẵn.

Sự kết hợp giữa việc khai thác zero-day tích cực, mã khai thác (exploit) công khai cho CVE-2025-61882 và khả năng đã được chứng minh của Cl0p ransomware tạo ra một bối cảnh đe dọa cực kỳ nguy hiểm cho các tổ chức dễ bị tổn thương. Việc chậm trễ trong việc vá lỗi có thể dẫn đến rò rỉ dữ liệu nghiêm trọng và các hậu quả tài chính.