Một chiến dịch tấn công Oracle E-Business Suite (EBS) tinh vi đã nhắm mục tiêu vào các khách hàng của Oracle, phơi bày các lỗ hổng nghiêm trọng trong hệ thống hoạch định tài nguyên doanh nghiệp. Ước tính 100 tổ chức trên toàn thế giới đã bị xâm phạm trong khoảng thời gian từ tháng 7 đến tháng 10 năm 2025.

Chiến dịch này được quy cho nhóm mã độc tống tiền Clop và liên kết với tác nhân đe dọa có động cơ tài chính FIN11. Chúng đã khai thác một lỗ hổng zero-day, CVE-2025-61882, để đạt được khả năng thực thi mã từ xa (remote code execution) không cần xác thực trên các cổng EBS lộ ra internet. Với gần 30 nạn nhân được công khai và dữ liệu rò rỉ lên tới hàng trăm gigabyte đến vài terabyte, sự cố này nhấn mạnh sự phát triển của bối cảnh mối đe dọa đối với các doanh nghiệp hiện đại.

Tổng Quan Về Chiến Dịch Tấn Công Oracle EBS

Các tổ chức lớn bị ảnh hưởng bao gồm Đại học Harvard, The Washington Post, Logitech, Schneider Electric và Envoy Air (công ty con của American Airlines). Thông tin nhạy cảm bị phơi bày bao gồm hồ sơ tài chính, dữ liệu nhân sự, thông tin chuỗi cung ứng và chi tiết khách hàng.

Chiến dịch tấn công Oracle E-Business Suite này là một ví dụ điển hình về cách các tác nhân đe dọa khai thác phần mềm doanh nghiệp được sử dụng rộng rãi để thực hiện xâm phạm hàng loạt. Oracle E-Business Suite đóng vai trò xương sống hoạt động cho hàng nghìn tổ chức trên toàn cầu, quản lý các chức năng quan trọng như tài chính, nhân sự, vận hành chuỗi cung ứng, mua sắm và quản lý quan hệ khách hàng.

Bằng cách xâm phạm nền tảng tập trung này, những kẻ tấn công đã truy cập vào các kho dữ liệu nhạy cảm nhất trong các tổ chức nạn nhân. Điều này biến một công cụ kinh doanh đáng tin cậy thành một vector tấn công.

Khung Thời Gian Khai Thác Sớm

Nhóm Tình báo Đe dọa của Google (GTIG) và các nhà nghiên cứu Mandiant đã truy vết hoạt động khai thác sớm nhất vào ngày 10 tháng 7 năm 2025. Việc đánh cắp dữ liệu được xác nhận bắt đầu vào ngày 9 tháng 8 năm 2025, vài tuần trước khi Oracle phát hành các bản vá khẩn cấp.

Tính chất tinh vi của cuộc tấn công, bao gồm mã độc không dùng tệp (fileless malware) và các payload đa tầng, đã giúp các tác nhân đe dọa lẩn tránh các hệ thống phát hiện dựa trên tệp truyền thống. Đồng thời, chúng duy trì quyền truy cập liên tục vào các môi trường bị xâm phạm.

Charles Carmakal, CTO của Mandiant Consulting, nhấn mạnh khung thời gian khai thác trước khi có bản vá. Ông lưu ý rằng những kẻ tấn công đã lợi dụng lỗ hổng zero-day trước khi các biện pháp phòng thủ được cung cấp.

Chiến Dịch Tống Tiền Công Khai

Chiến dịch được công khai vào ngày 29 tháng 9 năm 2025. Các giám đốc điều hành tại nhiều tổ chức đã nhận được email tống tiền từ các tác nhân tự nhận là thuộc thương hiệu Clop.

Những email này, được gửi từ hàng trăm tài khoản bên thứ ba bị xâm phạm để vượt qua các bộ lọc thư rác, cáo buộc đánh cắp dữ liệu nhạy cảm từ môi trường Oracle EBS của nạn nhân và đe dọa công khai trừ khi các yêu cầu tiền chuộc được đáp ứng. Việc sử dụng thông tin đăng nhập bị đánh cắp từ nhật ký của mã độc đánh cắp thông tin (infostealer malware logs) thể hiện một chiến thuật kỹ thuật xã hội tinh vi nhằm tăng tính hợp pháp cho các nỗ lực tống tiền.

Phân Tích Kỹ Thuật Lỗ Hổng Zero-day CVE-2025-61882

CVE-2025-61882: Điểm CVSS và Phạm Vi Ảnh Hưởng

CVE-2025-61882, được gán điểm CVSS 9.8 (Critical), cho phép những kẻ tấn công không cần xác thực đạt được khả năng remote code execution trên các phiên bản Oracle EBS từ 12.2.3 đến 12.2.14 mà không yêu cầu bất kỳ tương tác người dùng nào.

Lỗ hổng này nằm trong thành phần Oracle Concurrent Processing và đã bị khai thác tích cực trước khi các bản vá được cung cấp, điều này khiến nó trở thành một mối đe dọa zero-day thực sự.

Chuỗi Khai Thác RCE Chi Tiết

Các nhà nghiên cứu bảo mật từ watchTowr Labs đã công bố một phân tích kỹ thuật toàn diện, tiết lộ rằng lỗ hổng khai thác này kết hợp năm lỗ hổng riêng biệt để đạt được khả năng thực thi mã từ xa không cần xác thực trước (pre-authenticated remote code execution).

Cuộc tấn công bắt đầu với lỗ hổng Server-Side Request Forgery (SSRF) trong endpoint /OA_HTML/configurator/UiServlet. Endpoint này chấp nhận tài liệu XML từ người dùng không được xác thực thông qua tham số getUiType.

Khi tham số redirectFromJsp có mặt, servlet sẽ phân tích XML để trích xuất return_url và tạo một yêu cầu HTTP đi. Điều này cho phép những kẻ tấn công buộc máy chủ liên hệ với các máy chủ tùy ý.

Với quyền kiểm soát SSRF được thiết lập, những kẻ tấn công chèn các chuỗi Carriage-Return Line-Feed (CRLF) vào payload URL để thao túng khung yêu cầu và chèn các tiêu đề độc hại. Kỹ thuật chèn CRLF này cho phép kẻ thù chuyển đổi các yêu cầu GET đơn giản thành các yêu cầu POST được chế tạo và buôn lậu dữ liệu bổ sung đến các dịch vụ hạ nguồn. Lỗ hổng khai thác lợi dụng việc tái sử dụng kết nối HTTP thông qua cơ chế keep-alive, cho phép các yêu cầu được dàn dựng để được xếp chồng lên nhau qua cùng một socket TCP nhằm cải thiện độ tin cậy về thời gian.

Với SSRF có khả năng POST và chèn tiêu đề, những kẻ tấn công nhắm mục tiêu vào các dịch vụ nội bộ mà thông thường không thể truy cập được từ các giao diện công cộng. Các cài đặt Oracle EBS thường để lộ các dịch vụ HTTP nội bộ được gắn với các địa chỉ IP và cổng riêng tư, thường là trên cổng 7201.

Lỗ hổng khai thác sử dụng các kỹ thuật path-traversal để bỏ qua các bộ lọc xác thực dựa trên tên đường dẫn và truy xuất các trang JSP bị hạn chế, biến các tài nguyên chỉ dành cho nội bộ thành các đường dẫn thực thi có thể kiểm soát được bởi kẻ tấn công. Các nhà nghiên cứu đã ghi lại kỹ thuật này bằng cách truy cập endpoint ieshostedsurvey.jsp thông qua thao tác đường dẫn: /OA_HTML/help/../ieshostedsurvey.jsp.

Khi những kẻ tấn công đến được endpoint JSP dễ bị tổn thương, ứng dụng sẽ xây dựng một URL biểu định kiểu XSL bằng cách nối tiêu đề Host đến với /ieshostedsurvey.xsl. Máy chủ tạo một đối tượng URL và chuyển nó đến đường dẫn xử lý XSL của Java, sau đó tải xuống và thực thi biểu định kiểu từ máy chủ do kẻ tấn công kiểm soát.

Vì Java XSLT hỗ trợ các hàm mở rộng và có thể gọi các lớp Java tùy ý, tệp XSL do kẻ tấn công cung cấp sẽ giải mã các payload và gọi các mở rộng javax.script để thực thi mã tùy ý trong Java Virtual Machine. Giai đoạn xử lý XSLT không an toàn cuối cùng này cấp cho những kẻ tấn công khả năng remote code execution hoàn chỉnh trên hệ thống bị xâm phạm.

Chuỗi Khai Thác Phụ và Mã Độc GOLDVEIN.JAVA

Các nhà điều tra của Mandiant đã xác định một chuỗi khai thác thứ cấp nhắm mục tiêu vào thành phần /OA_HTML/SyncServlet trong hoạt động tháng 8 năm 2025. Đường dẫn tấn công thay thế này cho thấy sự hiểu biết tinh vi của các tác nhân đe dọa về kiến trúc Oracle EBS và khả năng phát triển nhiều kỹ thuật khai thác.

Mã độc được triển khai sau khi khai thác bao gồm GOLDVEIN.JAVA, một trình tải dựa trên Java chạy trong bộ nhớ để tìm nạp các payload giai đoạn hai. Mã độc này cho thấy những điểm tương đồng hợp lý với mã độc được sử dụng trong các chiến dịch Clop bị nghi ngờ chống lại hệ thống truyền tệp Cleo vào cuối năm 2024.

Ảnh Hưởng và Các Nạn Nhân Thực Tế

Tính đến tháng 11 năm 2025, trang rò rỉ dữ liệu của Clop đã liệt kê 29 nạn nhân bị cáo buộc trải rộng nhiều lĩnh vực, bao gồm giáo dục, truyền thông, sản xuất, hàng không vũ trụ, công nghệ, dịch vụ chuyên nghiệp, khai thác mỏ, xây dựng, bảo hiểm, dịch vụ tài chính, vận tải, ô tô, năng lượng và công nghiệp HVAC.

Các nạn nhân được xác nhận đã công khai thừa nhận vụ việc bao gồm Đại học Harvard, Đại học Wits ở Nam Phi, Envoy Air, The Washington Post và Logitech. Các tập đoàn công nghiệp lớn được nêu tên trên trang rò rỉ bao gồm Schneider Electric, Emerson, Cox Enterprises, Pan American Silver, LKQ Corporation và Copeland, mặc dù hầu hết chưa công khai xác nhận các sự cố.

The Washington Post đã xác nhận vào ngày 6 tháng 11 năm 2025 rằng họ là một trong số các nạn nhân, mặc dù tổ chức này từ chối chia sẻ chi tiết cụ thể về vụ xâm phạm. Logitech cũng tiết lộ một vụ rò rỉ dữ liệu ngay sau khi bị nêu tên trên trang rò rỉ của Clop.

Trong một trường hợp đặc biệt nghiêm trọng, GlobalLogic đã báo cáo vào ngày 11 tháng 11 năm 2025 rằng thông tin cá nhân của 10.471 nhân viên hiện tại và cựu nhân viên đã bị đánh cắp. Dữ liệu này bao gồm tên, địa chỉ, số điện thoại, liên hệ khẩn cấp, địa chỉ email, ngày sinh, quốc tịch, thông tin hộ chiếu, mã số thuế, thông tin lương và chi tiết tài khoản ngân hàng.

Tin tặc đã làm rò rỉ dữ liệu bị cáo buộc đánh cắp từ 18 nạn nhân, với một số bản phát hành lên tới hàng trăm gigabyte và một số khác đạt vài terabyte. Phân tích cấu trúc hạn chế được thực hiện bởi các nhà nghiên cứu bảo mật kết luận rằng các tệp bị rò rỉ có khả năng có nguồn gốc từ môi trường Oracle, củng cố độ tin cậy cho các tuyên bố của các tác nhân đe dọa.

Mức độ phơi nhiễm dữ liệu nhấn mạnh quyền truy cập toàn diện mà những kẻ tấn công đã đạt được vào hệ thống EBS của nạn nhân. Hệ thống này tích hợp các chức năng tài chính, nhân sự, chuỗi cung ứng và mua sắm vào cơ sở dữ liệu tập trung.

Chỉ Số Xâm Phạm (IOCs)

Các nhà nghiên cứu Shadowserver đã phát hành dữ liệu vào ngày 8 tháng 10 năm 2025, cho thấy 576 địa chỉ IP có khả năng bị tấn công dựa trên việc quét internet tìm lỗ hổng zero-day. Dữ liệu này được cung cấp chi tiết tại nguồn đáng tin cậy: Shadowserver – IP data for CVE-2025-61882. Số liệu này chỉ đại diện cho các trường hợp Oracle EBS tiếp xúc internet và không tính đến các tổ chức có thể đã bị xâm phạm nhưng duy trì hệ thống phía sau tường lửa hoặc các kiểm soát bảo mật mạng khác.

Các khuyến nghị của Oracle cũng bao gồm các chỉ số xâm phạm (IOCs) được rút ra từ các hoạt động khai thác được quan sát. Tuy nhiên, bản chất không dùng tệp của mã độc đã làm phức tạp các nỗ lực phát hiện.

Chiến Thuật Của Nhóm Clop và Các Liên Kết Khác

Chiến dịch mang dấu hiệu của nhóm mã độc tống tiền Clop, còn được theo dõi là FIN11 và TA505. Đây là một tác nhân đe dọa có động cơ tài chính với lịch sử được ghi nhận về các chiến dịch khai thác hàng loạt nhắm vào các lỗ hổng phần mềm doanh nghiệp.

Để chứng minh các yêu cầu tống tiền của mình, các tác nhân đe dọa đã cung cấp danh sách tệp hợp lệ từ môi trường EBS của nạn nhân cho nhiều tổ chức, với dấu thời gian dữ liệu có từ giữa tháng 8 năm 2025. Chiến thuật này cho thấy kẻ tấn công sở hữu dữ liệu bị đánh cắp chính hãng và nhằm gây áp lực buộc nạn nhân phải đàm phán thanh toán tiền chuộc.

Phương pháp chiến dịch này tương tự các hoạt động Clop trước đây, đặc biệt là việc khai thác hàng loạt các lỗ hổng trong phần mềm truyền tệp MOVEit vào năm 2023, ảnh hưởng đến hàng trăm tổ chức trên toàn cầu. Nhóm này cũng liên quan đến việc khai thác các lỗ hổng phần mềm truyền tệp Cleo bắt đầu từ cuối năm 2024 và các cuộc tấn công trước đó vào các sản phẩm truyền tệp Fortra. Kiểu tấn công nhắm mục tiêu vào phần mềm doanh nghiệp được triển khai rộng rãi để đồng thời xâm phạm nhiều tổ chức đã trở thành chiến thuật đặc trưng của tác nhân đe dọa này.

Các nhà nghiên cứu Mandiant đã xác định sự chồng chéo giữa chiến dịch Oracle EBS và một mã khai thác bị rò rỉ được đăng vào ngày 3 tháng 10 năm 2025 bởi Scattered Lapsus$ Hunters, còn được gọi là ShinyHunters. Tuy nhiên, các nhà nghiên cứu nhấn mạnh rằng họ không thể đánh giá dứt khoát liệu hoạt động khai thác tháng 7 có liên quan đến mã khai thác cụ thể đó hay thiết lập kết nối trực tiếp giữa hoạt động Oracle ban đầu và ShinyHunters.

Phân tích của GTIG lưu ý rằng công cụ hậu khai thác cho thấy “những điểm tương đồng hợp lý” với mã độc được triển khai trong các chiến dịch Clop bị nghi ngờ khác. Việc sử dụng tài khoản email của bên thứ ba bị xâm phạm cho chiến dịch tống tiền thể hiện một biện pháp bảo mật hoạt động tinh vi, vì thông tin đăng nhập có nguồn gốc từ nhật ký mã độc đánh cắp thông tin trên các diễn đàn ngầm cho phép các tác nhân đe dọa gửi tin nhắn vượt qua bộ lọc thư rác và xuất hiện hợp pháp hơn đối với người nhận.

Phản Ứng Của Oracle và Khung Thời Gian Vá Lỗi

Phản ứng của Oracle đối với việc tiết lộ lỗ hổng đã tuân theo một khung thời gian nhiều giai đoạn, làm dấy lên lo ngại về khoảng cách giữa việc khai thác ban đầu và việc cung cấp bản vá. Công ty đã phát hành bản Critical Patch Update (CPU) vào tháng 7 năm 2025. Tuy nhiên, bản cập nhật này lại diễn ra trước bản vá khẩn cấp cho CVE-2025-61882 vài tháng.

Các nhà nghiên cứu bảo mật đã ghi lại hoạt động đáng ngờ có khả năng liên quan đến việc khai thác có từ ngày 10 tháng 7 năm 2025, thậm chí trước khi các bản vá tháng 7 được phát hành. Vào ngày 2 tháng 10 năm 2025, Oracle báo cáo rằng các tác nhân đe dọa có thể đã khai thác các lỗ hổng được vá trong bản cập nhật tháng 7 năm 2025 và khuyến nghị khách hàng áp dụng các bản CPU mới nhất.

Hai ngày sau, vào ngày 4 tháng 10 năm 2025, Oracle đã phát hành một Cảnh báo Bảo mật khẩn cấp đặc biệt cho CVE-2025-61882. Cảnh báo này xác nhận rằng lỗ hổng có thể bị khai thác từ xa mà không cần xác thực và nếu khai thác thành công, có thể dẫn đến remote code execution. Oracle đặc biệt khuyến nghị khách hàng áp dụng các bản cập nhật ngay lập tức, nhấn mạnh hướng dẫn lâu nay của hãng là duy trì các phiên bản được hỗ trợ tích cực và áp dụng tất cả các Cảnh báo Bảo mật và CPU mà không chậm trễ.

Bản vá khẩn cấp đi kèm với một điều kiện tiên quyết quan trọng: các tổ chức phải cài đặt bản CPU tháng 10 năm 2023 trước khi áp dụng bản vá CVE-2025-61882. Yêu cầu này có thể làm phức tạp và trì hoãn các nỗ lực khắc phục cho các tổ chức không duy trì các cấp độ bản vá hiện tại. Oracle đã cập nhật hướng dẫn vào ngày 11 tháng 10 năm 2025, với GTIG đánh giá rằng các máy chủ Oracle EBS được cập nhật thông qua bản vá này có khả năng không còn bị tấn công bởi các chuỗi khai thác đã biết.

Vào ngày 8 tháng 10 năm 2025, Oracle đã phát hành thêm một Cảnh báo Bảo mật cho CVE-2025-61884, một lỗ hổng mức độ nghiêm trọng cao ảnh hưởng đến thành phần Runtime UI của Oracle Configurator. Lỗ hổng này cho phép những kẻ tấn công từ xa không cần xác thực có quyền truy cập mạng qua HTTP để xâm phạm Oracle Configurator và truy cập các tài nguyên nhạy cảm. Rob Duhart, Giám đốc An ninh của Oracle, lưu ý rằng lỗ hổng này ảnh hưởng đến “một số triển khai” của Oracle E-Business Suite, cho thấy mức độ phơi nhiễm phụ thuộc vào cấu hình.

Khoảng Cách Zero-Day

Khoảng thời gian giữa việc khai thác ban đầu và việc cung cấp bản vá là một trong những khía cạnh đáng lo ngại nhất của chiến dịch tấn công Oracle E-Business Suite này. Mandiant xác nhận rằng các tác nhân đe dọa đã khai thác CVE-2025-61882 như một lỗ hổng zero-day chống lại khách hàng Oracle EBS sớm nhất là vào ngày 9 tháng 8 năm 2025, với hoạt động đáng ngờ bổ sung có khả năng có từ ngày 10 tháng 7 năm 2025.

Oracle đã không phát hành bản vá khẩn cấp cho đến ngày 4 tháng 10 năm 2025, tạo ra một cửa sổ khoảng tám tuần giữa việc khai thác được xác nhận và việc cung cấp bản vá. Trong khoảng thời gian này, các nạn nhân không có biện pháp phòng thủ nào do nhà cung cấp cung cấp. Khung thời gian khai thác này nêu bật một thách thức cơ bản trong bảo mật phần mềm doanh nghiệp: sự bất đối xứng giữa khả năng của kẻ tấn công và sự sẵn sàng của bên phòng thủ.

Các tác nhân đe dọa tinh vi đầu tư đáng kể nguồn lực vào nghiên cứu lỗ hổng và phát triển khai thác. Họ thường phát hiện các lỗ hổng trước khi nhà cung cấp hoặc các nhà nghiên cứu bảo mật xác định chúng. Khi được vũ khí hóa, các lỗ hổng zero-day này mang lại cho kẻ tấn công một lợi thế quan trọng, cho phép chúng xâm phạm hệ thống trước khi các biện pháp phòng thủ được thiết lập. Charles Carmakal nhấn mạnh sự nghiêm trọng của khung thời gian khai thác trước khi có bản vá trong bài đăng trên LinkedIn của mình, cảnh báo rằng các tổ chức nên chủ động điều tra các dấu hiệu xâm phạm bất kể trạng thái vá lỗi hiện tại của họ.

Hướng dẫn này nhận ra rằng việc áp dụng các bản vá sẽ khắc phục việc khai thác lỗ hổng trong tương lai nhưng không giải quyết được các vụ xâm phạm hiện có xảy ra trong cửa sổ zero-day. Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) đã thêm CVE-2025-61882 vào danh mục Known Exploited Vulnerabilities (KEV) của mình vào ngày 6 tháng 10 năm 2025, xác nhận việc khai thác tích cực trong các chiến dịch mã độc tống tiền. Chỉ định này kích hoạt các yêu cầu chỉ thị hoạt động ràng buộc đối với các cơ quan liên bang phải vá các hệ thống bị ảnh hưởng trong khung thời gian quy định và đóng vai trò là tín hiệu mạnh mẽ cho các tổ chức khu vực tư nhân về tính chất quan trọng của mối đe dọa.

Khuyến Nghị và Giải Pháp Phòng Ngừa Rủi Ro Bảo Mật

Một số chuyên gia bảo mật khuyến nghị chuyển đổi từ Oracle EBS tại chỗ sang các Ứng dụng Đám mây Oracle Fusion Cloud để tăng cường bảo mật. Các mô hình SaaS như Oracle Fusion chuyển một số trách nhiệm bảo mật cho nhà cung cấp, người liên tục cập nhật các kiểm soát bảo mật. Nền tảng Oracle Fusion Cloud Supply Chain Management tích hợp các biện pháp bảo mật và hỗ trợ ra quyết định trong quá trình gián đoạn.

Các tổ chức sử dụng EBS nên áp dụng “tư duy bảo mật là trên hết” ngay từ giai đoạn thiết kế, tích hợp bảo mật vào kiến trúc, kiểm soát truy cập và quản lý bản vá. Các đánh giá bảo mật thường xuyên, bao gồm quét lỗ hổng và kiểm tra thâm nhập (penetration testing), giúp xác định các điểm yếu trước khi chúng có thể bị khai thác.

Chiến dịch tấn công Oracle E-Business Suite ảnh hưởng đến khoảng 30 tổ chức nêu bật những thách thức mang tính hệ thống đối với các mối đe dọa tinh vi. Việc khai thác các lỗ hổng zero-day và mã độc không dùng tệp cho thấy rõ các mối đe dọa mạng hiện đại. Điều này cho thấy các tổ chức phải hạn chế tiếp xúc internet, duy trì kỷ luật cập nhật bản vá và triển khai các chiến lược phòng thủ theo chiều sâu để giảm thiểu rủi ro bảo mật.

Tác động của chiến dịch này có thể vượt ra ngoài các nạn nhân được xác định, với các đánh giá cho thấy hơn 100 tổ chức có thể bị ảnh hưởng. Các tổ chức sử dụng các phiên bản Oracle EBS cụ thể nên kiểm tra trạng thái bản vá của mình, tìm kiếm các chỉ số xâm phạm và đảm bảo các kiểm soát bảo mật của họ được cập nhật. Sự cố này nhấn mạnh sự cần thiết của trách nhiệm bảo mật tập thể giữa các nhà cung cấp, khách hàng và nhà nghiên cứu. Các tổ chức phải phát triển các chiến lược phòng thủ của mình từ phản ứng sang chủ động, coi sự kiện này là một cơ hội để chuyển đổi bảo mật đáng kể.