Специалисты CrowdStrike обнаружили активную кампанию по эксплуатации недавно выявленной уязвимости CVE-2025-61882, затрагивающей Oracle E-Business Suite (EBS). Уязвимость обеспечивает удалённое выполнение кода без проверки подлинности (RCE), что позволяет злоумышленникам запускать произвольные команды в среде EBS без необходимости аутентификации.
Краткая сводка
- 29 сентября 2025 года хакерская группировка GRACEFUL SPIDER взяла на себя ответственность за утечку данных, связав её с приложениями Oracle EBS.
- 4 октября 2025 года Oracle официально объявила о CVE-2025-61882. В релизе Oracle прямого подтверждения использования в дикой природе не было, но были опубликованы IOCs.
- CrowdStrike с высокой долей уверенности утверждает о реальном использовании уязвимости в скоординированной кампании и предоставляет детекции для клиентов Falcon следующего поколения SIEM.
Как работает атака
По данным CrowdStrike, эксплуатация направлена на менеджер шаблонов Oracle XML Publisher. Механизм включает несколько этапов:
- Отправка GET и POST запросов к URL-адресам в среде EBS, в частности к /OA_HTML/RF.jsp и /OA_HTML/OA.jsp.
- Загрузка вредоносного XSLT-шаблона, который при предварительном просмотре выполняет встроенные команды.
- Развёртывание веб‑шелла в виде Java-файлов: FileUtils.java используется как загрузчик, а Log4jConfigQpgsubFilter.java функционирует как backdoor.
Индикаторы компрометации (IOCs)
Oracle в своём бюллетене привела ряд IOCs, которые включают, среди прочего:
- Подозрительные IP-адреса, замеченные при попытках взаимодействия с EBS.
- Необычное поведение файлов и процессов Java, характерное для загрузки и выполнения вредоносных XSLT-шаблонов и развертывания веб‑шеллов.
- Конкретные имена Java-файлов, используемые злоумышленниками: FileUtils.java, Log4jConfigQpgsubFilter.java и др.
«Аналитики разведывательной службы CrowdStrike выражают высокую степень уверенности в том, что один или несколько злоумышленников используют эту уязвимость zero-day в рамках скоординированной кампании по эксплуатации.»
Реакция и рекомендации
CrowdStrike подчёркивает срочность мониторинга активности, связанной с этим вектором атаки. Компания предоставила шаблон правил обнаружения для клиентов Falcon следующего поколения SIEM, который ориентирован на выявление:
- Подозрительного поведения процессов Java, указывающего на попытки эксплуатации.
- Необычных GET/POST запросов к /OA_HTML/RF.jsp и /OA_HTML/OA.jsp.
- Распознавания загрузки и исполнения вредоносных XSLT-шаблонов и появления упомянутых Java-файлов.
Организациям, использующим Oracle E-Business Suite, рекомендовано немедленно обратить внимание на появление перечисленных индикаторов и внедрить соответствующие правила детекции в свои системы мониторинга. Наличие опубликованных IOCs и сообщений от независимой разведки свидетельствует о реальной угрозе, требующей оперативного реагирования.
Контекст
Несмотря на то, что Oracle в первоначальном релизе не указала прямых подтверждений эксплуатации в дикой природе, сочетание заявления GRACEFUL SPIDER об утечке данных и обнаруженных CrowdStrike признаков эксплуатации указывает на наличие активной кампании. Это подчёркивает важность координированной работы производителей ПО, поставщиков безопасности и администраторов инфраструктуры для своевременного обнаружения и нейтрализации подобных угроз.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Эксплуатация CVE-2025-61882: RCE в Oracle E-Business Suite".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.
