أصدرت Oracle إصلاحًا لضعف تنفيذ الرمز البعيد (RCE) في جناح الأعمال الإلكترونية (EBS) مع ظهور حزمة برامج ERP المستخدمة جيدًا كأحدث متجه لهجمات الفدية Mass CL0P (AKA CLOP).
النظام الإيكولوجي Oracle EBS مدمج بعمق في أنظمة المؤسسات المالية والتشغيلية ، والتي توفر للمتسللين إمكانية الوصول إلى مجموعة واسعة من الأهداف عالية القيمة والتأثيرات القصوى المحتملة.
العيب المعني ، CVE-20225-61882، موجود في الإصدارات 1.2.2.3 إلى 12.2.14 من EEBS ، ويؤثر على مكون معالجة المهام المتزامن الذي يمكّن المستخدمين من تشغيل عمليات متعددة في وقت واحد.
تم تصنيفه 9.8 على مقياس CVSS ، ويعتبر من السهل نسبيًا الاستفادة منه. الأهم من ذلك ، يمكن للمهاجم غير المصادق استغلاله عبر الشبكة دون الحاجة إلى أي تفاعل بين المستخدم ، مما يؤدي إلى RCE.
يقدم النظام الإيكولوجي Oracle EBS ، الذي غالبًا ما يكون مضمنًا بعمق في الأنظمة المالية والتشغيلية ، أهدافًا عالية القيمة مع تأثير أعمال بعيدة المدى
“توصي Oracle دائمًا أن يظل العملاء في الإصدارات المدعومة بنشاط وتطبيق جميع تنبيهات الأمان وتصحيحات أمان تحديث التصحيح الحرجة دون تأخير.
وأضاف المورد: “لاحظ أن تحديث التصحيح الحرجة في أكتوبر 2023 هو شرط أساسي لتطبيق التحديثات في تنبيه الأمان هذا”.
في إشعارها الاستشاري شارك Oracle عددًا من مؤشرات التسوية (IOCs) التي بدت لربط استغلال CVE-2025-61882 على كل من طاقم CL0P Ransomware و Lapsus $ Hunters المبعثر-الذي لا يُعرف بالضرورة بأنه العنكبوت المبعثر المعروف بأنه يعمل بمثابة راتسوم برواينات في الماضي.
جيك نوت ، باحث أمني رئيسي في WatchTowr، قال إن استغلال EBS بدا أنه يعود إلى أغسطس 2025 ، وحذر من أن رمز استغلال CVE-2015-61882 ، وحذر من يوم الاثنين 6 أكتوبر..
“للوهلة الأولى ، بدت معقدة بشكل معقول وتتطلب جهد حقيقي للتكاثر يدويًا. ولكن الآن ، مع تسرب رمز استغلال العمل ، انتهى هذا الحاجز أمام الدخول. من المحتمل أنه لا يوجد أحد تقريبًا في عطلة نهاية الأسبوع. لذلك نحن نستيقظ على ثغرة أهمية حرجة مع رمز الاستغلال العام والأنظمة غير المذهلة في كل مكان”.
“نتوقع تمامًا رؤية الاستغلال الشامل ، العشوائي من مجموعات متعددة في غضون أيام. إذا قمت بتشغيل Oracle EBs ، فهذا هو التنبيه الأحمر. التصحيح على الفور ، واصطاد بقوة ، وشد عناصر التحكم الخاصة بك ، بسرعة.”
الكتابة على LinkedIn، تشارلز كارماكال ، المدير الفني ومستشار مجلس الإدارة في Google Cloud’s Mandiant، أكد هذا ، قائلاً إن CL0P قد استغل بالتأكيد العديد من نقاط الضعف EBS – بما في ذلك بعضها تم تصحيحه قبل شهرين – أيضًا. من المفترض أن تتصل العصابة بالضحايا منذ أوائل الأسبوع الماضي ، لكن Carmakal أضاف أنها ربما لم تتواصل معهم جميعًا حتى الآن.
تحذير CL0P من التاريخ
كما رأينا في عام 2023 ، عندما نجحت استهدفت عيبًا في MoveIt لبرنامج Progress منتجات برمجيات نقل الملفات المدارة (MFT) لابتزاز المئات من الضحايا ، تعتاد عصابة CL0P على إجراء أنشطة استغلال جماعية ضد العديد من المنظمات المصب من خلال حزم برامج مستخدمة على نطاق واسع. إن الاستهداف الجماعي لـ Oracle EBS الذي يتم رؤيته الآن يناسب هذا الوسيلة المعمول بها.
تاريخيا ، يأتي نشاط CL0P في رشقات قصيرة ، رفيعة المستوى بين الفترات الطويلة من التوقف-على الأرجح بسبب العبء الإداري على خلق هجماته الكبيرة-و كرول كان المدير الإداري لمرونة الإنترنت ومرونة البيانات ، ماكس هندرسون ، من بين أولئك الذين يحذرون منذ بضعة أسابيع من أن العصابة تبدو من المحتمل أن تظهر. أخبر الكمبيوتر أسبوعيًا أن الآخرين قد يتبعونه ، ووصف الآثار “القاتمة”.
وقال هندرسون: “يجب أن يكون هناك اندفاع عاجل للضحايا ومستخدمي Oracle لتصحيح هذا ، حيث قد تستمر الهجمات المستمرة أو الهجمات من مجموعات أخرى. نتوقع ذيلًا طويلًا من ضحايا التعريف الذاتي مع هذا الموقف ، لأن العديد من الضحايا غير مدركين لرسائل البريد الإلكتروني الابتزاز في مجلداتهم غير المرغوب فيها”.
