Uma das ameaças mais alarmantes das últimas 24 horas chegou ao cenário de cibersegurança global com força total. A exploração ativa da vulnerabilidade CVE-2025-61882 no Oracle E-Business Suite representa um risco crítico para organizações em todo o mundo. Nesse artigo do blog Dolutech, vamos mergulhar nos detalhes técnicos dessa falha de dia zero e entender por que empresas estão em alerta máximo.
A Ameaça que Tirou o Sono dos CISOs
A CVE-2025-61882 recebeu uma pontuação CVSS de 9.8 sobre 10, classificando-a como criticamente perigosa. Mas o que torna essa vulnerabilidade particularmente aterrorizante não é apenas sua severidade técnica, é o fato de que o notório grupo de ransomware Cl0p já está explorando-a ativamente desde agosto de 2025 em ataques massivos de roubo de dados.
A Oracle confirmou no dia 4 de outubro de 2025 que essa falha de dia zero afeta o componente Oracle Concurrent Processing através da integração BI Publisher, permitindo que atacantes não autenticados executem código remotamente sem necessidade de credenciais. Em termos práticos, isso significa que um invasor pode assumir controle total do sistema através da rede, sem precisar de senha ou interação do usuário.
Oracle E-Business Suite: Um Alvo de Alto Valor
O Oracle E-Business Suite não é um sistema qualquer. Trata-se de uma plataforma ERP amplamente utilizada em funções críticas de negócios, incluindo finanças, recursos humanos, procurement e outras operações essenciais. Quando falamos sobre comprometimento desse tipo de sistema, estamos falando sobre acesso a dados financeiros sensíveis, registros de funcionários, informações de clientes e toda a inteligência operacional de uma organização.
A Dolutech identificou que as versões afetadas vão da 12.2.3 até a 12.2.14, um range considerável que amplia significativamente a superfície de ataque. Milhares de organizações globalmente podem estar vulneráveis neste exato momento.
Cl0p: O Predador Silencioso Retorna
O grupo Cl0p não é novato no mundo do cibercrime. Em fevereiro de 2025, o Cl0p listou 335 vítimas em seu site de vazamento — o maior número de ataques já registrado por um grupo individual de ransomware em um único mês. Sua estratégia é diferente da maioria: enquanto grupos tradicionais de ransomware seguem o modelo de “mãos no teclado” com afiliados realizando ataques personalizados, o Cl0p prefere a exploração em massa de vulnerabilidades zero-day.
O grupo utiliza táticas de “pegar e correr”, extraindo o máximo de dados possível do software comprometido sem necessariamente criptografar nada. Em vez de acumular vítimas em ritmo constante, conseguem afetar centenas de organizações em questão de dias. Nós já vimos isso anteriormente com seus ataques ao GoAnywhere MFT e MOVEit Transfer em 2023.
Anatomia Técnica do Ataque
Para aqueles interessados nos aspectos técnicos, a CVE-2025-61882 não é uma vulnerabilidade única — é uma cadeia poética de várias fraquezas pequenas e médias orquestradas juntas. A análise técnica revela que o ataque envolve pelo menos cinco bugs distintos trabalhando em conjunto para alcançar execução remota de código pré-autenticada.
O Processo de Exploração
A atividade observada começa com uma requisição HTTP POST para /OA_HTML/SyncServlet, que inicia a porção de bypass de autenticação de uma cadeia de exploração multi-etapas. Para alcançar execução de código, o adversário visa o Oracle XML Publisher Template Manager através de requisições GET e POST para /OA_HTML/RF.jsp e /OA_HTML/OA.jsp, fazendo upload e executando um template XSLT malicioso.
A sequência completa envolve:
- SSRF (Server-Side Request Forgery): Envio de requisição HTTP POST contendo XML manipulado para forçar o servidor backend a fazer requisições HTTP arbitrárias
- CRLF Injection: Injeção de headers arbitrários na requisição HTTP
- Request Smuggling: Contrabando de requisições através da aplicação Oracle EBS
- Template Malicioso: Upload de arquivo XSL contendo shell reverso codificado em Base64
- Execução: Estabelecimento de canal de comunicação com o servidor do atacante
Campanha de Extorsão em Massa
Charles Carmakal, CTO da Mandiant no Google Cloud, confirmou que o Cl0p explorou múltiplas vulnerabilidades no Oracle EBS que permitiram roubar grandes quantidades de dados de várias vítimas em agosto de 2025. As vítimas começaram a receber emails de extorsão no final de setembro, com os criminosos ameaçando vazar ou vender os dados roubados se o resgate não fosse pago.
Em 6 de outubro, a CISA (Cybersecurity and Infrastructure Security Agency) adicionou a CVE-2025-61882 ao catálogo KEV (Known Exploited Vulnerabilities), confirmando seu uso em campanhas de ransomware. A agência ordenou que agências federais aplicassem correções até 27 de outubro de 2025.
Indicadores de Comprometimento (IOCs)
A Oracle compartilhou indicadores importantes que organizações devem monitorar:
Endereços IP maliciosos identificados:
- 200.107.207.26 (atividade GET e POST)
- Outros IPs em investigação
Comandos observados:
- Abertura de shell remoto
- Execução de templates XSLT maliciosos
Hashes de arquivos (SHA256):
- 76b6d36e04e367a2334c445b51e1ecce97e4c614e88dfb4f72b104ca0f31235d (exploit POC)
Como Mitigar a CVE-2025-61882
A Oracle lançou patches emergenciais, mas há pré-requisitos importantes. Antes de aplicar a atualização para CVE-2025-61882, as organizações devem garantir que já aplicaram o Critical Patch Update de outubro de 2023. Essa é uma condição obrigatória para instalação do patch de segurança.
Medidas Imediatas de Proteção
1. Aplicação de Patches
- Atualizar imediatamente para a versão mais recente do Oracle EBS
- Verificar se o patch de outubro de 2023 está instalado antes de aplicar a correção
- Aplicar também patches da atualização de julho de 2025, já que o Cl0p explorou múltiplas vulnerabilidades
2. Investigação Forense
- Examinar conexões de saída de instâncias Oracle EBS para infraestrutura maliciosa conhecida
- Verificar logs de acesso em busca de requisições suspeitas para /OA_HTML/SyncServlet, /OA_HTML/RF.jsp e /OA_HTML/OA.jsp
- Procurar por timestamps de modificação anteriores a 4 de outubro de 2025 em instâncias voltadas para internet
3. Hardening Preventivo
- Limitar exposição de instâncias Oracle EBS à internet pública
- Implementar segmentação de rede robusta
- Estabelecer monitoramento contínuo de atividades anômalas
- Configurar DLP (Data Loss Prevention) para detectar exfiltração de dados
4. Gestão de Backups
- Manter cópias offline e imutáveis de dados críticos
- Testar regularmente procedimentos de restauração
- Armazenar backups em localizações fisicamente separadas
5. Conscientização de Terceiros
- Avaliar fornecedores e parceiros que podem estar executando versões vulneráveis do Oracle EBS
- Uma violação no ecossistema pode se tornar seu problema
O Contexto Maior: ERPs na Mira
A CVE-2025-61882 segue uma tendência maior de atacantes mirando sistemas ERP, dado o valor crítico dos dados e operações que representam. Incidentes anteriores, como exploração do SAP RECON ou MOVEit, demonstraram que falhas em aplicações empresariais rapidamente transitam de CVEs obscuras para a linha de frente do cibercrime.
Nós já observamos o Cl0p especializar-se nesse tipo de ataque. O grupo tem particular afinidade por software de transferência de arquivos e agora demonstra expertise em sistemas ERP corporativos. A mudança de táticas do Cl0p, focando em exfiltração de dados ao invés de criptografia tradicional, destaca a necessidade crítica de estratégias robustas de DLP e controles de acesso fortes.
Proof-of-Concept Público Aumenta o Risco
Um aspecto particularmente preocupante é que em 3 de outubro de 2025, um exploit proof-of-concept foi postado em canais do Telegram, sugerindo colaboração entre grupos como SCATTERED SPIDER, SLIPPY SPIDER e ShinyHunters. A CrowdStrike avalia com confiança moderada que a divulgação do POC e o lançamento do patch CVE-2025-61882 quase certamente encorajarão atores de ameaças — particularmente aqueles familiarizados com Oracle EBS — a criar POCs armados e tentar utilizá-los contra aplicações EBS expostas à internet.
Isso significa que mesmo organizações não visadas inicialmente pelo Cl0p agora enfrentam risco de exploração oportunista por múltiplos grupos criminosos.
A Urgência é Real
Jake Knott, pesquisador principal de segurança da watchTowr, declarou: “O Cl0p tem explorado múltiplas vulnerabilidades no Oracle EBS desde pelo menos agosto de 2025. Baseado nas evidências, acreditamos que esta é atividade do Cl0p, e esperamos ver exploração massiva e indiscriminada de múltiplos grupos em questão de dias. Se você executa Oracle EBS, este é seu alerta vermelho. Faça patch imediatamente, investigue agressivamente e aperte seus controles — rápido.”
A janela de oportunidade para proteção está se fechando rapidamente. Com exploit público disponível, pontuação crítica de 9.8, e confirmação de exploração ativa por um dos grupos de ransomware mais prolíficos do mundo, não há margem para complacência.
Conclusão
A CVE-2025-61882 representa uma tempestade perfeita de fatores de risco: severidade crítica, exploração zero-day ativa, grupo de ameaça sofisticado, sistema amplamente utilizado em operações críticas de negócios, e agora um exploit público circulando.
Para organizações que executam Oracle E-Business Suite, a mensagem da Dolutech é clara: patcheie agora ou pague depois, e o preço não será apenas financeiro. Estamos falando de perda de dados, interrupção operacional, danos reputacionais e exposição regulatória.
A cibersegurança não é apenas sobre tecnologia; é sobre velocidade de resposta, priorização de riscos e execução disciplinada. Este é um daqueles momentos em que cada hora conta.
Amante por tecnologia Especialista em Cibersegurança e Big Data, Formado em Administração de Infraestrutura de Redes, Pós-Graduado em Ciências de Dados e Big Data Analytics e Machine Learning, Com MBA em Segurança da Informação, Escritor do livro ” Cibersegurança: Protegendo a sua Reputação Digital”.