Schneider Electric i Emerson na liście ofiar ataków na Oracle E-Business Suite

Wprowadzenie do problemu / definicja luki

Cyberprzestępcy powiązani z marką wyciekową Cl0p zaczęli publikować listy rzekomych ofiar kampanii wymierzonej w Oracle E-Business Suite (EBS). Na stronie wyciekowej Cl0p pojawiły się m.in. Schneider Electric i Emerson, a przy tych nazwach udostępniono archiwa danych: ~2,7 TB (Emerson) oraz ~116 GB (Schneider Electric). Redakcje i badacze wskazują, że struktura plików i metadane sugerują pochodzenie informacji właśnie ze środowisk Oracle EBS.

W skrócie

• Kampania trwa co najmniej od lipca–sierpnia 2025 r. i łączy kradzież danych ze szantażem e-mailowym wobec klientów Oracle EBS.
• Oracle potwierdziło falę maili z żądaniami okupu kierowanych do klientów EBS i wezwało do pilnych aktualizacji.
• Wektor wejścia wiązany jest z podatnościami CVE-2025-61882 (początkowo 0-day) oraz później CVE-2025-61884, dla których Oracle wydało poprawki awaryjne w październiku.
• CISA potwierdziła, że CVE-2025-61884 jest aktywnie wykorzystywane (wpis do katalogu KEV).
• Lista ofiar rośnie; niezależne relacje wymieniają obok Schneider/Emerson także inne organizacje (część już potwierdziła incydenty, jak Harvard czy Envoy Air).

Kontekst / historia / powiązania

9 października 2025 r. Google Threat Intelligence i Mandiant opisały szeroko zakrojoną kampanię wymuszeń wobec klientów Oracle EBS. Według ich analizy intruzi działający pod brandem Cl0p dostarczali do kadr kierowniczych masowe e-maile, przedstawiając listingi plików wykradzionych z EBS jako „dowód”. Reuters dzień później przytoczył komunikat Oracle o napływie zgłoszeń dot. e-maili z szantażem oraz rekomendacje aktualizacji. W kolejnych dniach zaczęły pojawiać się pierwsze publiczne potwierdzenia ofiar i wpisy w KEV CISA.

Analiza techniczna / szczegóły luki

Badacze opisują łańcuch ataku obejmujący:

• Wykorzystanie podatności EBS (początkowo 0-day CVE-2025-61882, następnie poprawione również CVE-2025-61884) do zdalnego, nieautoryzowanego dostępu bez interakcji użytkownika. Oracle wydało awaryjne poprawki 4 października i kolejną aktualizację 11 października.
• Cele HTTP obserwowane w kampanii (m.in. /OA_HTML/UiServlet, /OA_HTML/SyncServlet) oraz ścieżki wskazujące na nadużycia w komponentach EBS.
• Implanty w Javie działające w pamięci (rodzina narzędzi opisywana przez Google/Mandiant m.in. jako GOLDVEIN, SAGEWAVE, SAGELEAF, SAGEGIFT), co utrudnia detekcję w oparciu o artefakty plikowe. Artykuł zawiera też wskaźniki kompromitacji (IP/C2, reguły YARA).

Ważne: CISA dodała CVE-2025-61884 do KEV, co wymusza na agencjach federalnych USA szybkie wdrożenie łatek i podkreśla realne nadużycia tej luki „w naturze”.

Praktyczne konsekwencje / ryzyko

• Ryzyko wycieku danych ERP (finanse, HR, łańcuch dostaw, logistyka) z instancji EBS, które w wielu firmach są krytycznym systemem back-office.
• Szantaż i reputacja: Cl0p publikuje listingi i zrzuty, aby zwiększyć presję. Dla podmiotów przemysłowych (Schneider Electric, Emerson) ryzyko dotyczy w pierwszej kolejności poufności danych korporacyjnych, a nie bezpośrednio ICS/OT — ale kompromitacja ERP może pośrednio wpłynąć na operacje (łańcuch dostaw, zamówienia, serwis).
• Efekt domina: rosnąca lista ofiar sugeruje skalę zbliżoną do wcześniejszych kampanii Cl0p (MOVEit, Cleo, Fortra) — masowy, ustandaryzowany model „data theft + extortion”.

Rekomendacje operacyjne / co zrobić teraz

1. Natychmiast załataj EBS: zastosuj poprawki Oracle z 4 i 11 października 2025 r. dotyczące CVE-2025-61882/61884. Zweryfikuj, że środowiska są na bieżących poziomach CPU/PSU.
2. Segmentacja i ekspozycja: odetnij EBS od Internetu (jeśli to możliwe), dopuszczaj dostęp przez VPN/ZTNA, listy kontroli dostępu, WAF z regułami na znane ścieżki i wzorce.
3. Hunting w pamięci JVM: przeprowadź analizę pamięci procesów Java/WebLogic powiązanych z EBS pod kątem artefaktów GOLDVEIN/SAGEWAVE i użyj opublikowanych IOC/YARA.
4. Przegląd logów HTTP i aplikacyjnych: szukaj nietypowych żądań do /OA_HTML/UiServlet, /OA_HTML/SyncServlet, /OA_HTML/OA.jsp?...TemplatePreviewPG... oraz anomalii w Concurrent Processing.
5. IR i komunikacja: przygotuj „holding statement” i plan powiadomień (prawny/PR). Nie negocjuj pochopnie — weryfikuj próbki danych przesłane przez agresora. (Potwierdzone przypadki nierzadko zawierały elementy podkoloryzowania wartości danych).
6. Twarde MFA i higiena kont: wymuś zmianę haseł, rotację kluczy, ogranicz dostępność kont serwisowych; monitoruj nietypowe logowania do kont uprzywilejowanych. (CISA ostrzegała wcześniej o ryzyku kradzieży poświadczeń w ekosystemie Oracle).
7. Backupy i plan ciągłości: zapewnij odseparowane kopie krytycznych danych ERP; przetestuj odtwarzanie.

Różnice / porównania z innymi przypadkami

Model operacyjny przypomina fale Cl0p z lat 2020–2024 (Accellion FTA, MOVEit, Cleo, Fortra MFT): masowe wykorzystanie podatności 0-day/n-day w powszechnie używanym oprogramowaniu, krótko po czym następuje seria e-maili szantażowych i publikacje na DLS. Różnica: tym razem celem jest system ERP (Oracle EBS) — konsekwencje dla biznesu są bardziej „horyzontalne” (finanse/HR/łańcuch dostaw), podczas gdy w MFT chodziło głównie o repozytoria plików.

Podsumowanie / kluczowe wnioski

• Schneider Electric i Emerson zostały publicznie wskazane przez napastników jako ofiary kampanii na EBS; przy ich nazwach opublikowano znaczne wolumeny danych. Organizacje nie skomentowały jeszcze sprawy mediom.
• CVE-2025-61882/61884 stanowią realny wektor — z aktualnie dostępnymi łatami Oracle oraz potwierdzeniem aktywnej eksploatacji przez CISA. Patch now i wykonaj threat hunting.
• Skalę zdarzenia potwierdzają liczne wpisy na DLS i raporty mediów branżowych; lista ofiar rośnie.

Źródła / bibliografia

• SecurityWeek: Industrial Giants Schneider Electric and Emerson Named as Victims of Oracle Hack (28 października 2025). (SecurityWeek)
• Google Threat Intelligence & Mandiant: Oracle E-Business Suite Zero-Day Exploited in Widespread Extortion Campaign (9 października 2025, aktual. 11 października 2025). (Google Cloud)
• Reuters: Oracle says hackers are trying to extort its customers (3 października 2025). (Reuters)
• SecurityWeek: CISA Confirms Exploitation of Latest Oracle EBS Vulnerability (21 października 2025). (SecurityWeek)
• Dark Reading: Oracle EBS Attack Victims May Be More Numerous Than Expected (28 października 2025). (Dark Reading)