Một lỗ hổng zero-day mới (CVE-2025-61882) trong Oracle E-Business Suite đang bị khai thác tích cực trong một chiến dịch đánh cắp dữ liệu quy mô lớn. Tình báo CrowdStrike đã xác định nhóm tác nhân đe dọa GRACEFUL SPIDER là bên liên quan chính.

CrowdStrike cảnh báo rằng các chi tiết về Proof-of-Concept (POC) được công bố rộng rãi sẽ thúc đẩy các cuộc tấn công tiếp theo. Đây là một rủi ro đáng kể đối với các tổ chức sử dụng Oracle EBS.

Tổng quan về Lỗ hổng và Chiến dịch Khai thác Zero-Day

Vụ khai thác đáng ngờ đầu tiên của lỗ hổng thực thi mã từ xa (RCE) không xác thực này trong Oracle E-Business Suite được ghi nhận vào ngày 9 tháng 8 năm 2025. Tuy nhiên, các cuộc điều tra đang diễn ra có thể điều chỉnh lại ngày này.

CrowdStrike Intelligence đã theo dõi lỗ hổng zero-day này, hiện được liệt kê là CVE-2025-61882, như nguyên nhân gốc rễ của một chiến dịch khai thác hàng loạt. Mục tiêu là các ứng dụng EBS bị phơi nhiễm trên internet nhằm đánh cắp dữ liệu.

Đến ngày 29 tháng 9 năm 2025, các thành viên của GRACEFUL SPIDER đã gửi email cho nhiều tổ chức. Họ tuyên bố đã truy cập và trích xuất dữ liệu nhạy cảm từ môi trường Oracle EBS của nạn nhân.

Diễn biến Khai thác và Công bố POC

Việc phân loại nhóm tấn công trở nên phức tạp hơn khi vào ngày 3 tháng 10 năm 2025, một thành viên kênh Telegram đã đăng tải một bản khai thác (exploit) có khả năng hoạt động cho CVE-2025-61882.

Bài đăng này gợi ý về sự hợp tác giữa các nhóm SCATTERED SPIDER, SLIPPY SPIDER và ShinyHunters. Nó cũng bao gồm một hàm băm SHA256 (76b6d36e04e367a2334c445b51e1ecce97e4c614e88dfb4f72b104ca0f31235d) và chỉ trích các chiến thuật của GRACEFUL SPIDER.

Tư vấn bảo mật của Oracle sau đó đã công bố cùng một Proof-of-Concept (POC) như một chỉ số xâm nhập (IOC). Điều này cho thấy lỗ hổng này đã bị khai thác trong thực tế.

Mặc dù CrowdStrike không thể loại trừ nhiều tác nhân đe dọa đang khai thác lỗ hổng này, các mẫu khai thác quan sát được cho thấy sự trùng khớp chặt chẽ với hoạt động của POC và các phương thức đã biết của GRACEFUL SPIDER.

Chi tiết Kỹ thuật Khai thác Lỗ hổng CVE-2025-61882

Oracle đã công bố CVE-2025-61882 vào ngày 4 tháng 10 năm 2025, mô tả đây là một lỗ hổng zero-day thực thi mã từ xa (Remote Code Execution – RCE) không xác thực trong Oracle E-Business Suite.

Một lỗ hổng RCE cho phép kẻ tấn công thực thi các lệnh tùy ý trên hệ thống từ xa mà không cần xác thực hợp lệ. Điều này cấp cho chúng quyền kiểm soát đáng kể đối với máy chủ bị ảnh hưởng.

Chuỗi khai thác bắt đầu bằng một yêu cầu HTTP POST đến đường dẫn /OA_HTML/SyncServlet. Yêu cầu này được thiết kế để bỏ qua quá trình xác thực thông thường.

Kẻ tấn công thường mạo danh một tài khoản quản trị viên để thực hiện yêu cầu này, từ đó thiết lập điểm khởi đầu cho việc chiếm quyền điều khiển.

Cơ chế Thực thi Mã từ Xa qua XSLT Template

Bước này mở đường cho việc thực thi mã thông qua XML Publisher Template Manager, một thành phần quan trọng trong Oracle EBS. Đây là một cơ chế hợp lệ trong hệ thống bị lạm dụng.

Để thực hiện việc khai thác, các tác nhân đe dọa gửi các yêu cầu GET và POST tới /OA_HTML/RF.jsp và /OA_HTML/OA.jsp. Mục đích là tải lên một template XSLT độc hại.

Template XSLT này chứa các lệnh tùy ý và sẽ được thực thi khi được xem trước trong môi trường Oracle EBS. Điều này cho phép kẻ tấn công điều khiển hệ thống từ xa một cách hiệu quả.

Việc khai thác thành công thiết lập một kết nối đi (outbound connection) từ quy trình máy chủ web Java đến cơ sở hạ tầng do kẻ tấn công kiểm soát. Kết nối này thường được thực hiện qua cổng 443.

CrowdStrike đã quan sát thấy các tác nhân đe dọa sử dụng kênh này để triển khai từ xa các web shell. Các web shell này cung cấp khả năng duy trì quyền truy cập và thực thi lệnh bổ sung trên hệ thống bị xâm nhập.

Vector Lây nhiễm và Duy trì Quyền truy cập

Trong một số sự cố, kẻ tấn công đã tải xuống tệp FileUtils.java. Tệp này sau đó lại tải tệp Log4jConfigQpgsubFilter.java từ máy chủ của kẻ tấn công.

Hai tệp này hoạt động tương ứng như một trình tải xuống (downloader) và một backdoor. Backdoor được gọi qua một chuỗi doFilter khi truy cập vào đường dẫn cụ thể.

Đường dẫn kích hoạt backdoor là /OA_HTML/help/state/content/destination./navId.1/navvSetId.iHelp/. Việc này cho phép kẻ tấn công thực thi các lệnh độc hại một cách ẩn danh.

Những hành động này cho thấy sự tinh vi trong việc thiết lập quyền kiểm soát lâu dài trên các hệ thống mục tiêu sau khi lỗ hổng zero-day ban đầu được khai thác thành công.

Chỉ số Nhận diện Sự xâm nhập (IOCs) và Khuyến nghị Đối phó

Tư vấn bảo mật của Oracle bao gồm các chỉ số nhận diện sự xâm nhập (IOCs) quan trọng. Các IOC này bao gồm địa chỉ IP độc hại, các lệnh được quan sát và tên tệp độc hại.

Những thông tin này làm nổi bật bằng chứng rõ ràng về các cuộc tấn công mạng đang diễn ra trong thực tế. Sự phù hợp kỹ thuật giữa dữ liệu đo từ xa của CrowdStrike và POC được công bố củng cố mạnh mẽ kết luận rằng một lỗ hổng zero-day mới là cốt lõi của chiến dịch này.

Các Chỉ số Xâm nhập (IOCs) Chính Cần Lưu ý

• Hàm băm SHA256 của Exploit POC:

  76b6d36e04e367a2334c445b51e1ecce97e4c614e88dfb4f72b104ca0f31235d

• Các endpoint bị nhắm mục tiêu cho yêu cầu HTTP ban đầu:

  /OA_HTML/SyncServlet

• Các endpoint được sử dụng để tải lên template XSLT độc hại:

  /OA_HTML/RF.jsp
  /OA_HTML/OA.jsp

• Các tệp độc hại được triển khai:
  • FileUtils.java (Chức năng Downloader)
  • Log4jConfigQpgsubFilter.java (Chức năng Backdoor)
• Đường dẫn kích hoạt backdoor sau khi lây nhiễm:

  /OA_HTML/help/state/content/destination./navId.1/navvSetId.iHelp/

• Cổng kết nối outbound ra bên ngoài đến máy chủ C2 của kẻ tấn công:

  TCP/443

• Các tác nhân đe dọa liên quan trực tiếp hoặc gián tiếp:GRACEFUL SPIDER, (có thể liên quan) SCATTERED SPIDER, SLIPPY SPIDER, ShinyHunters.

Việc theo dõi và chặn các IOC này là rất quan trọng để phát hiện và ngăn chặn các cuộc tấn công mạng tương tự và bảo vệ hệ thống khỏi sự xâm nhập.

Tác động và Các Biện pháp Giảm thiểu Rủi ro Khẩn cấp

CrowdStrike Intelligence cảnh báo rằng việc công bố rộng rãi POC vào ngày 3 tháng 10 và việc Oracle nhanh chóng phát hành bản vá sẽ thúc đẩy các tác nhân đe dọa bổ sung.

Đặc biệt là những người quen thuộc với Oracle E-Business Suite, sẽ có động lực để vũ khí hóa khai thác này cho các cuộc tấn công cơ hội. Đây là một kịch bản phổ biến sau khi các chi tiết kỹ thuật được công khai.

Các xu hướng lịch sử cho thấy rằng các POC công khai thúc đẩy sự phát triển của khai thác và mở rộng nhóm kẻ tấn công tiềm năng. Điều này chuyển các chiến dịch nhắm mục tiêu thành các cuộc xâm nhập cơ hội rộng rãi hơn, gia tăng đáng kể rủi ro bảo mật.

Các tổ chức đang vận hành Oracle EBS cần ưu tiên các hành động sau để giảm thiểu rủi ro từ lỗ hổng zero-day này:

• Cập nhật bản vá khẩn cấp: Ngay lập tức áp dụng bản vá do Oracle cung cấp cho CVE-2025-61882 để khắc phục lỗ hổng. Đây là biện pháp phòng thủ cơ bản và hiệu quả nhất.
• Giám sát tăng cường: Triển khai giám sát chặt chẽ lưu lượng mạng và nhật ký hệ thống để phát hiện các hoạt động bất thường hoặc dấu hiệu khai thác liên quan đến các IOC đã biết.
• Phân tích IOCs: Sử dụng các IOC được cung cấp để chủ động tìm kiếm và chặn các dấu hiệu xâm nhập hiện có hoặc tiềm ẩn trong môi trường của mình.
• Đánh giá rủi ro định kỳ: Thực hiện đánh giá lại các ứng dụng Oracle E-Business Suite đang bị phơi nhiễm trên internet để xác định và giảm thiểu các điểm yếu tiềm ẩn khác.
• Tăng cường bảo mật điểm cuối: Đảm bảo các giải pháp bảo mật điểm cuối được cập nhật và cấu hình đúng cách để phát hiện và ngăn chặn việc triển khai web shell hoặc các mã độc khác.

Bằng cách vá các phiên bản dễ bị tấn công một cách nhanh chóng và triển khai giám sát cảnh giác, các tổ chức có thể phá vỡ chuỗi khai thác và bảo vệ dữ liệu nhạy cảm khỏi các mối đe dọa lỗ hổng zero-day mới nổi trong Oracle E-Business Suite. Điều này giúp duy trì an toàn thông tin tổng thể.