Cơ quan An ninh Cơ sở Hạ tầng và An ninh Mạng (CISA) đã phát đi cảnh báo khẩn cấp về một lỗ hổng zero-day nghiêm trọng trong Oracle E-Business Suite. Các nhóm tội phạm mạng đang tích cực khai thác lỗ hổng zero-day này để triển khai các cuộc tấn công mã độc ransomware nhắm vào các tổ chức trên toàn thế giới.

Phân tích Lỗ hổng Zero-Day CVE-2025-61882

Lỗ hổng này được định danh là CVE-2025-61882, hiện đang gây ra mối đe dọa trực tiếp, đòi hỏi sự chú ý tức thì từ các doanh nghiệp sử dụng phần mềm quản lý kinh doanh phổ biến và thiết yếu của Oracle. Chi tiết chuyên sâu về lỗ hổng CVE này, bao gồm điểm CVSS và các thuộc tính khác, có thể được tìm thấy tại cơ sở dữ liệu quốc gia về lỗ hổng bảo mật: NVD – CVE-2025-61882.

Về mặt kỹ thuật, CVE-2025-61882 ảnh hưởng đến thành phần BI Publisher Integration trong Oracle E-Business Suite. Đây là một thành phần quan trọng thường được sử dụng để tạo và quản lý báo cáo, tích hợp dữ liệu kinh doanh. Với bản chất là một lỗ hổng zero-day, nó cho phép kẻ tấn công chưa xác thực (unauthenticated attackers) xâm nhập vào các hệ thống Oracle Concurrent Processing.

Điều này có nghĩa là kẻ tấn công có thể truy cập mà không cần bất kỳ thông tin đăng nhập, tên người dùng hay mật khẩu nào. Các nhà nghiên cứu bảo mật đã xác nhận rằng việc khai thác thành công lỗ hổng zero-day này không chỉ đơn thuần là truy cập mà có thể dẫn đến việc kiểm soát hoàn toàn hệ thống Oracle Concurrent Processing.

Việc chiếm quyền điều khiển hệ thống này cung cấp cho kẻ tấn công quyền truy cập sâu rộng và không giới hạn vào dữ liệu kinh doanh nhạy cảm. Nó bao gồm các thông tin tài chính, dữ liệu khách hàng, cũng như khả năng can thiệp vào các hoạt động doanh nghiệp quan trọng.

Phương thức Khai thác và Tác động của Lỗ hổng

Điểm đáng lo ngại nhất của lỗ hổng zero-day này nằm ở khả năng truy cập dễ dàng thông qua các kết nối mạng HTTP tiêu chuẩn. Điều này loại bỏ nhiều rào cản kỹ thuật thường gặp trong các cuộc tấn công phức tạp. Việc khai thác không đòi hỏi các đặc quyền đặc biệt hay chuỗi tấn công phức tạp, khiến nó trở nên hấp dẫn đối với các nhóm tội phạm.

Các tác nhân đe dọa có thể thực hiện khai thác lỗ hổng này hoàn toàn từ xa, biến nó thành một mục tiêu có giá trị cao cho các nhà điều hành mã độc ransomware. Mục tiêu của chúng là tối đa hóa tác động bằng cách nhắm mục tiêu và mã hóa dữ liệu trên nhiều tổ chức cùng một lúc.

Các báo cáo tình báo về mối đe dọa đã được tổng hợp, chỉ ra rằng một số nhóm ransomware khét tiếng đã nhanh chóng tích hợp CVE-2025-61882 vào kho vũ khí tấn công của chúng. Các sự cố được xác nhận đã ghi nhận cho thấy kẻ tấn công sử dụng lỗ hổng này một cách chiến thuật để thiết lập chỗ đứng ban đầu trong mạng lưới mục tiêu trước khi triển khai các payload mã hóa có tính phá hoại.

Quá trình khai thác điển hình thường tuân theo một mô hình rõ ràng và hiệu quả:

• Đầu tiên, kẻ tấn công giành quyền truy cập trái phép thông qua thành phần BI Publisher dễ bị tổn thương, thiết lập một điểm xâm nhập ban đầu.
• Tiếp theo, chúng sẽ tìm cách leo thang đặc quyền trong môi trường Oracle, mở rộng quyền kiểm soát đối với các tài nguyên hệ thống.
• Cuối cùng, mã độc ransomware được triển khai rộng rãi trên toàn bộ cơ sở hạ tầng mạng được kết nối, dẫn đến việc mã hóa dữ liệu quan trọng và làm gián đoạn hoạt động.

Hệ thống Mục tiêu và Rủi ro Bảo mật Cao

Các tổ chức đang sử dụng Oracle E-Business Suite đã nhanh chóng trở thành mục tiêu chính do tính chất cực kỳ quan trọng của các hệ thống này trong hoạt động vận hành doanh nghiệp hàng ngày. Mối rủi ro bảo mật từ lỗ hổng zero-day này là vô cùng cao, đe dọa trực tiếp đến tính liên tục và an toàn của dữ liệu.

Khi bị xâm phạm, các môi trường Oracle E-Business Suite thường chứa một lượng lớn các bản ghi tài chính có giá trị, cơ sở dữ liệu khách hàng chứa thông tin cá nhân nhạy cảm và dữ liệu vận hành chiến lược. Đây là những loại thông tin mà các nhóm ransomware có thể tận dụng triệt để để đòi tiền chuộc với số tiền tối đa, gây ra thiệt hại tài chính và uy tín nghiêm trọng.

Cảnh báo và Khuyến nghị Khẩn cấp của CISA về Zero-Day

CISA đã phân loại lỗ hổng zero-day này vào danh mục Các Lỗ hổng Đang bị Khai thác (Known Exploited Vulnerabilities – KEV) của mình, một chỉ dấu rõ ràng về mức độ nghiêm trọng và yêu cầu khắc phục ngay lập tức. CISA đã đưa ra thời hạn cụ thể cho các tổ chức bị ảnh hưởng đến ngày 27 tháng 10 năm 2025 để triển khai các biện pháp bảo vệ cần thiết. Danh mục KEV, một nguồn thông tin đáng tin cậy về các lỗ hổng đang bị khai thác, có thể được tham khảo chi tiết tại CISA KEV Catalog.

Cơ quan này đặc biệt khuyến nghị mạnh mẽ các tổ chức thực hiện các biện pháp giảm thiểu và bản vá bảo mật do nhà cung cấp cung cấp ngay lập tức khi chúng được phát hành. Ngoài ra, cần tuân thủ nghiêm ngặt hướng dẫn Binding Operational Directive 22-01 (BOD 22-01) áp dụng cho các dịch vụ đám mây, nhằm đảm bảo tuân thủ các tiêu chuẩn bảo mật liên bang. Trong trường hợp không có bản vá bảo mật hoặc các biện pháp giảm thiểu hiệu quả, CISA khuyên nên xem xét ngừng sử dụng các sản phẩm bị ảnh hưởng cho đến khi có giải pháp an toàn.

Chiến lược Giảm thiểu và Bảo vệ Hệ thống Oracle

Để bảo vệ hệ thống khỏi lỗ hổng zero-day này, các nhóm an ninh cần ưu tiên xác định và kiểm kê tất cả các cài đặt Oracle E-Business Suite trong môi trường của họ. Điều này đặc biệt quan trọng đối với những cài đặt có thành phần BI Publisher Integration tiếp xúc trực tiếp với lưu lượng mạng bên ngoài hoặc có thể truy cập từ xa.

Các tổ chức cũng nên triển khai phân đoạn mạng chặt chẽ để hạn chế tiềm năng di chuyển ngang của kẻ tấn công trong trường hợp xâm nhập ban đầu. Phân đoạn mạng giúp cô lập các hệ thống quan trọng, giảm thiểu phạm vi tác động của cuộc tấn công mã độc ransomware.

Đồng thời, việc đảm bảo có các quy trình sao lưu mạnh mẽ và được kiểm tra định kỳ là điều tối quan trọng. Các bản sao lưu này phải được lưu trữ ngoại tuyến và bất khả xâm phạm. Điều này tạo điều kiện thuận lợi cho việc phục hồi hệ thống và dữ liệu mà không phải trả tiền chuộc cho kẻ tấn công, giảm thiểu thiệt hại tài chính và áp lực từ cuộc tấn công.

Việc khai thác tích cực lỗ hổng zero-day CVE-2025-61882 thể hiện một sự leo thang đáng kể trong các mối đe dọa nhắm vào các hệ thống hoạch định tài nguyên doanh nghiệp (ERP) quan trọng. Điều này nhấn mạnh tầm quan trọng cấp bách của việc duy trì các bản vá bảo mật hiện hành, cập nhật cấu hình bảo mật và triển khai giám sát toàn diện, liên tục trên tất cả các môi trường Oracle để phát hiện và phản ứng kịp thời với các mối đe dọa.