Các tổ chức sử dụng Oracle E-Business Suite (EBS) được khuyến cáo khẩn cấp áp dụng các bản vá phát hành ngày 4 tháng 10 để giảm thiểu mối đe dọa từ lỗ hổng zero-day Oracle E-Business Suite đang bị khai thác tích cực bởi nhóm tấn công tống tiền CL0P. Các chuyên gia bảo mật cần tiến hành săn lùng các mẫu độc hại trong cơ sở dữ liệu của mình ngay lập tức, đây là một phần quan trọng của chiến lược phản ứng.

Bắt đầu từ ngày 29 tháng 9 năm 2025 (theo báo cáo của Google Threat Intelligence Group – GTIG và Mandiant), một chiến dịch email lớn đã nhắm mục tiêu vào các giám đốc điều hành tại hàng chục tổ chức. Các email này đưa ra cáo buộc về việc đánh cắp dữ liệu nhạy cảm từ môi trường Oracle E-Business Suite của họ, gây ra nguy cơ nghiêm trọng về rò rỉ dữ liệu.

Các thông điệp tống tiền được gửi từ hàng trăm tài khoản bên thứ ba bị xâm nhập, chứa các danh sách tập tin hợp pháp có từ giữa tháng 8. Mặc dù chưa có nạn nhân nào xuất hiện trên trang web rò rỉ dữ liệu (DLS) của CL0P, các chiến dịch trước đây cho thấy dữ liệu có thể được công bố vài tuần sau khi tiếp cận ban đầu, điều này làm tăng thêm áp lực cho các công tác bảo mật.

Diễn biến và Công bố về Lỗ hổng Zero-day Oracle E-Business Suite

Vào ngày 2 tháng 10, Oracle đã báo cáo rằng các lỗ hổng bị khai thác đã được vá trong bản Cập nhật vá lỗi quan trọng (Critical Patch Update – CPU) tháng 7. Oracle cũng đã thúc giục khách hàng áp dụng ngay các bản CPU mới nhất để bảo vệ hệ thống của mình.

Hai ngày sau đó, Oracle phát hành các bản vá khẩn cấp dành riêng cho CVE-2025-61882, một lỗ hổng zero-day Oracle E-Business Suite đang bị khai thác, và tái khẳng định sự cần thiết của việc duy trì cập nhật tất cả các bản vá. Sự phản ứng nhanh chóng này là cực kỳ quan trọng.

Phân tích của GTIG chỉ ra chiến dịch này do một tác nhân thuộc CL0P thực hiện, dựa trên hoạt động xâm nhập kéo dài nhiều tháng. Việc khai thác ban đầu có thể đã bắt đầu từ ngày 10 tháng 7. Tuy nhiên, đến ngày 9 tháng 8, CVE-2025-61882 – một lỗ hổng zero-day trong Oracle E-Business Suite – đã được sử dụng tích cực để tấn công các thành phần UiServlet và SyncServlet.

Phân tích Kỹ thuật Khai thác Zero-day (CVE-2025-61882)

Khung khai thác này là một framework implant Java đa giai đoạn, kết hợp nhiều kỹ thuật phức tạp để vượt qua các biện pháp bảo mật hiện có trên Oracle E-Business Suite:

• Server-Side Request Forgery (SSRF): Cho phép kẻ tấn công gửi các yêu cầu giả mạo từ máy chủ bị tổn thương.
• CRLF injection: Thường được sử dụng để thao túng các tiêu đề HTTP hoặc log files.
• Authentication bypass: Vượt qua các cơ chế xác thực, cho phép truy cập trái phép.
• XSL template injection: Cho phép chèn và thực thi mã độc thông qua các template XSL.

Những kỹ thuật này được phối hợp để đạt được quyền thực thi mã từ xa (Remote Code Execution – RCE) trên hệ thống Oracle E-Business Suite bị ảnh hưởng, kiểm soát hoàn toàn môi trường.

Chi tiết về Khai thác SyncServlet và XSL Payload

Vào tháng 8, kẻ tấn công đã khai thác thành phần SyncServlet thông qua các yêu cầu có cấu trúc đặc biệt. Sau đó, chúng lợi dụng XDO Template Manager để tải lên các payload XSL độc hại vào bảng XDO_TEMPLATES_B trong cơ sở dữ liệu. Một yêu cầu xem trước template (template preview request) như sau sẽ kích hoạt thực thi payload:

/OA_HTML/oracle/apps/xdo/template/preview/TemplatePreviewPG.jsp?
_xf=file:<PathToInjectedTemplate>

Payload XSL này được thiết kế để giải mã một implant Java được mã hóa Base64, khởi tạo một ScriptEngine, và sau đó thực thi mã do kẻ tấn công kiểm soát. Đây là bước then chốt để đạt được Remote Code Execution thông qua lỗ hổng zero-day Oracle E-Business Suite.

Ví dụ Lệnh Thực thi và Ảnh hưởng Hệ thống

Các lệnh được thực thi dưới tài khoản “applmgr” trên các máy chủ bị xâm nhập bao gồm các hoạt động trinh sát hệ thống và thiết lập kết nối reverse shell, cho phép kẻ tấn công duy trì quyền truy cập và thu thập thông tin:

• Trinh sát hệ thống:

  cat /etc/fstab
  df -h
  ip addr

• Thiết lập kết nối reverse shell:

  nc -lvnp 443 -e /bin/bash

Việc này cho phép kẻ tấn công thu thập thông tin chi tiết về cấu hình hệ thống và tài nguyên mạng, chuẩn bị cho các giai đoạn tấn công tiếp theo hoặc đánh cắp dữ liệu nhạy cảm.

Các Thành phần Mã độc và Cơ chế Duy trì

Hai chuỗi Java riêng biệt được phát hiện trong quá trình tấn công này. Đầu tiên là một downloader có tên GOLDVEIN.JAVA, có nhiệm vụ tải về các thành phần mã độc tiếp theo. Tiếp theo là một chuỗi loader phản chiếu lồng nhau (nested reflective loader sequence) có tên SAGE*, đỉnh điểm là SAGEWAVE. Các thành phần này không chỉ cho phép truy xuất payload giai đoạn thứ hai mà còn cài đặt các bộ lọc duy trì (persistent filters) trên hệ thống, đảm bảo quyền truy cập liên tục cho kẻ tấn công.

Dấu hiệu Thỏa hiệp (IOCs) và Dấu hiệu Khai thác

Để phát hiện sớm các dấu hiệu tấn công sử dụng lỗ hổng zero-day Oracle E-Business Suite, các tổ chức cần chú ý đến các điểm sau:

• Phát hiện template độc hại: Kiểm tra các mục nhập trong cơ sở dữ liệu nơi trường TEMPLATE_CODE bắt đầu bằng “TMP” hoặc “DEF“. Đây là dấu hiệu mạnh mẽ của các template độc hại đã được tải lên thông qua lỗ hổng.
• Giới hạn truy cập mạng: Giới hạn quyền truy cập Internet ra bên ngoài từ các máy chủ EBS để chặn các kênh liên lạc C2 (Command and Control) mà mã độc có thể sử dụng.
• Giám sát nhật ký mạng: Giám sát chặt chẽ nhật ký mạng để tìm các yêu cầu bất thường đến các endpoint sau, đặc biệt là các yêu cầu không xác định hoặc từ các nguồn không đáng tin cậy:
  • /OA_HTML/configurator/UiServlet
  • TemplatePreviewPG
• Phân tích pháp y bộ nhớ: Sử dụng kỹ thuật phân tích pháp y bộ nhớ (memory forensics) trên các tiến trình Java để phát hiện các implant tồn tại trong bộ nhớ nhưng không hiển thị trên đĩa. Đây là phương pháp hiệu quả để phát hiện mã độc tinh vi liên quan đến lỗ hổng zero-day Oracle E-Business Suite.

Các Biện pháp Bảo vệ và Bản vá Bảo mật Khẩn cấp

Bước đầu tiên và quan trọng nhất là phải vá lỗi ngay lập tức. Các tổ chức cần áp dụng bản vá khẩn cấp của Oracle phát hành ngày 4 tháng 10 cho CVE-2025-61882 mà không chậm trễ. Việc cập nhật bản vá bảo mật này là cực kỳ cần thiết để bảo vệ hệ thống khỏi các cuộc tấn công khai thác lỗ hổng zero-day Oracle E-Business Suite.

Sau khi triển khai bản vá, các chuyên gia bảo mật nên tiến hành săn lùng các template độc hại trong cơ sở dữ liệu của mình. Điều này bao gồm:

• Xem xét kỹ lưỡng các mục nhập nơi TEMPLATE_CODE bắt đầu bằng “TMP” hoặc “DEF“, vì đây là dấu hiệu của việc chèn mã độc.
• Hạn chế quyền truy cập Internet đi ra (outbound) từ các máy chủ Oracle E-Business Suite để cắt đứt khả năng liên lạc với máy chủ C2 của kẻ tấn công.

Chiến dịch này nhấn mạnh lợi thế chiến lược của việc kết hợp khai thác zero-day với hành vi tống tiền trì hoãn. Bằng cách nhắm mục tiêu vào các ứng dụng doanh nghiệp công khai, các tác nhân liên kết với CL0P có thể nhanh chóng đánh cắp dữ liệu ở quy mô lớn trong khi tránh bị phát hiện sớm. Điều này đặt ra một thách thức lớn về an ninh mạng và đòi hỏi các tổ chức phải có chiến lược phòng thủ chủ động.

Với lịch sử khai thác các lỗ hổng zero-day trong giai đoạn 2020–2025, các tổ chức phải luôn giả định rằng họ là mục tiêu chính và duy trì các chế độ vá lỗi và giám sát nghiêm ngặt. Việc thường xuyên cập nhật bản vá bảo mật và triển khai các giải pháp giám sát tiên tiến là không thể thiếu để bảo vệ các hệ thống quan trọng như Oracle E-Business Suite.