Wprowadzenie do problemu / definicja luki
Cox Enterprises poinformowało o naruszeniu danych po włamaniu do środowiska wykorzystywanego do back-office, do którego doszło wskutek wykorzystania zero-day w Oracle E-Business Suite (EBS). Intruz działał w dniach 9–14 sierpnia 2025 r., a incydent wykryto 29 września 2025 r.. Firma przekazała powiadomienia 9 479 osobom i zaoferowała 12-miesięczny monitoring tożsamości (IDX). W próbce powiadomienia nie wskazano kategorii danych – trwa weryfikacja zakresu wycieku.
W skrócie
- Wektor: masowa kampania wymierzona w Oracle EBS, przypisywana klastrze FIN11, sygnowana marką Cl0p.
- Luka: CVE-2025-61882 (EBS Oracle Concurrent Processing / BI Publisher Integration) – RCE bez uwierzytelnienia przez HTTP, CVSS 9.8; dodatkowo CVE-2025-61884 (drugi błąd EBS) załatany 11 października.
- Czas: pierwsze nadużycia od 9 sierpnia 2025 r.; patch dla 61882 opublikowany 4–6 października 2025 r..
- Status: Cl0p opublikował na DLS dane części ofiar; Cox znalazł się na liście 27 października.
Kontekst / historia / powiązania
Kampania wobec Oracle EBS wpisuje się w schemat działań Cl0p/FIN11: masowe wykorzystanie 0-day w popularnych systemach, eksfiltracja i następcza ekstorsja (Accellion FTA 2020, GoAnywhere/MOVEit 2023, Cleo 2024). W bieżącej fali na portalu Cl0p pojawiło się blisko 30 domniemanych ofiar, m.in. Logitech, The Washington Post czy Harvard. Część organizacji potwierdziła incydenty, część nadal bada sprawę.
Analiza techniczna / szczegóły luki
CVE-2025-61882 dotyczy komponentu Oracle Concurrent Processing – BI Publisher Integration i umożliwia zdalne wykonanie kodu bez uwierzytelnienia (HTTP). Dotknięte wersje: 12.2.3–12.2.14. Oracle udostępnił poprawki w trybie „Security Alert” i opublikował IOC (IP, polecenia, hashe).
Z obserwacji CrowdStrike i Mandiant/GTIG wynika, że łańcuch ataku obejmował:
- żądania do /OA_HTML/SyncServlet (obejście autoryzacji),
- upload i wykonanie złośliwego szablonu XSLT przez /OA_HTML/RF.jsp oraz TemplatePreviewPG (BI Publisher),
- zestawienie połączenia wychodzącego (port 443) i załadowanie web-shella (np. Log4jConfigQpgsubFilter),
- utrwalenie i dalszą eksfiltrację danych (implanty Java: GOLDVEIN/SAGEWAVE/SAGELEAF/SAGEGIFT).
CVE-2025-61884 to drugi, niezależny błąd EBS łatany 11 października, również możliwy do wykorzystania bez uwierzytelnienia; stanowił element przerwania łańcucha eksploatacji.
Praktyczne konsekwencje / ryzyko
- Ryzyko RCE na bramie aplikacyjnej EBS bez interakcji użytkownika → pełne przejęcie aplikacji i dostęp do danych ERP.
- Eksfiltracja i ekstorsja: atakujący kontaktują się z kadrą kierowniczą z kont przejętych infostealerami, przedstawiają listingi plików jako „dowód” i żądają okupu.
- Ryzyko łańcucha dostaw: wiele spółek-córek i kontrahentów korzysta z EBS; wyciek metadanych finansowo-logistycznych może eskalować do nadużyć płatniczych i BEC. (Wniosek na podstawie potwierdzonych ofiar i charakteru EBS).
Rekomendacje operacyjne / co zrobić teraz
- Natychmiast załataj EBS: zastosuj Security Alert dla CVE-2025-61882 (wymaga CPU 10.2023) oraz poprawki dla CVE-2025-61884; potwierdź wersje 12.2.3–12.2.14.
- Hunting w bazie EBS (XDO): przejrzyj tabele
XDO_TEMPLATES_B,XDO_LOBSpod kątem świeżych wpisów/TemplateCodezaczynających się odTMP/DEF; sprawdź ścieżki wywołań TemplatePreviewPG. - Artefakty sieciowe i procesowe: przeszukaj logi pod żądania do
/OA_HTML/SyncServlet,/OA_HTML/OA.jsp,/help/state/.../iHelp/; zweryfikuj połączenia wychodzące z procesu serwera Java do znanych IOC. - Konta i sesje: skontroluj nietypowe sesje w
icx_sessions(np.UserID 0/6), wymuś rotację haseł i sesji. - Ekspozycja: tymczasowo odetnij EBS od Internetu lub zastosuj WAF z regułami ograniczającymi wskazane endpointy, dopóki nie zakończysz triage.
- IR & notyfikacje: jeśli wykryjesz eksfiltrację – przygotuj dowody pod wymogi notyfikacyjne (np. liczba osób, kategorie danych), jak w przypadku Cox (9 479 powiadomień, typ danych nieustalony).
Różnice / porównania z innymi przypadkami
W odróżnieniu od kampanii Cl0p z lat 2020–2024 (FTA/GoAnywhere/MOVEit/Cleo), obecna fala uderza w system ERP, a nie platformy MFT. Daje to głębszy wgląd w procesy biznesowe (zamówienia, faktury, łańcuch dostaw), a nie wyłącznie w pliki transferowane doraźnie. To tłumaczy dłuższe „okno” eksfiltracji przed wysyłką e-maili szantażowych i potencjalnie większy wpływ na operacje.
Podsumowanie / kluczowe wnioski
- Atak na Cox Enterprises to element szerokiej kampanii przeciw klientom Oracle EBS, w której zero-day CVE-2025-61882 był aktywnie wykorzystywany przed publikacją poprawek; drugi błąd CVE-2025-61884 domyka łańcuch.
- Organizacje powinny traktować EBS jak krytyczny system brzegowy: patchować natychmiast, aktywnie polować na XSLT/web-shelle, przejrzeć ruch wychodzący i dzienniki aplikacyjne.
- Brak jasności co do typów danych u Cox pokazuje, że szybkie IR + forensyka są kluczowe dla ograniczenia szkód i właściwych notyfikacji.
Źródła / bibliografia
- BleepingComputer: „Cox Enterprises discloses Oracle E-Business Suite data breach” (22 listopada 2025). (BleepingComputer)
- Oracle: „Security Alert Advisory – CVE-2025-61882 (E-Business Suite)” – opis RCE, wersje 12.2.3–12.2.14, IOC. (Oracle)
- Google Threat Intelligence & Mandiant: „Oracle E-Business Suite Zero-Day Exploited in Widespread Extortion Campaign” – oś czasu, TTP, zapytania XDO, IOC. (Google Cloud)
- CrowdStrike: „Campaign targeting Oracle E-Business Suite via zero-day (CVE-2025-61882)” – szczegóły łańcucha, endpointy, web-shelle. (CrowdStrike)
- SecurityWeek: „Nearly 30 Alleged Victims of Oracle EBS Hack Named on Cl0p Site” – skala ofiar i kontekst. (SecurityWeek)