Oracle ha rilasciato una nuova patch per la sua E-Business Suite. L’azienda guidata da Larry Ellison ha rilevato e corretto una vulnerabilità che può essere sfruttata per accedere a dati sensibili da remoto. È meno grave di quella utilizzata dal gruppo Clop per estorcere denaro a decine di aziende.
Una catena di vulnerabilità
Come ha evidenziato anche Google, Oracle non è stata molto chiara nei suoi bollettini di sicurezza. Gli attacchi contro E-Business Suite (EBS) sono iniziati nel mese di luglio, quindi è probabile che sia stata sfruttata una catena di vulnerabilità, tra cui quelle risolte tre mesi fa.
La vulnerabilità CVE-2025-61882, confermata e risolta il 4 ottobre, si aggiunge alle precedenti. Il gruppo Clop ha ottenuto l’accesso ai server EBS senza autenticazione (username e password), eseguito codice remoto e sottratto i dati di numerose aziende.
Nel weekend è stata distribuita l’ennesima patch per la suite. La vulnerabilità, indicata con CVE-2025-61884, è presente nel componente Runtime UI. È meno grave della precedente (livello di rischio 7.5 invece di 9.8), ma le aziende devono installare urgentemente l’aggiornamento perché consente di rubare dati sensibili.
Anche in questo caso, la complessità dell’attacco è basso. È sufficiente solo individuare i server vulnerabili e accedere senza autenticazione. Oracle non specifica se ci sono già exploit in circolazione. I cybercriminali del gruppo Clop potrebbero sfruttare anche questo bug per rubare i dati e chiedere il pagamento di un riscatto (in realtà si tratta di estorsione perché non è stato installato un ransomware).
Il gruppo Clop è noto per aver colpito migliaia di aziende che usano MOVEit Transfer. Sfruttando varie vulnerabilità del software hanno sottratto i dati di quasi 96 milioni di persone, causando danni economici superiori a 15 miliardi di dollari.