(https://i.imgur.com/7ltq5Zk.jpeg)
Cox Enterprises ha confirmado una grave brecha de seguridad tras detectar que hackers accedieron a su red corporativa aprovechando una vulnerabilidad zero-day en Oracle E-Business Suite (EBS). Este incidente expuso datos personales de empleados y clientes, y fue reportado a las víctimas mediante una notificación en la que la empresa asegura que ya toma medidas para mitigar el daño.
Cómo ocurrió el ataqueSegún el aviso oficial, Cox Enterprises identificó actividad sospechosa relacionada con su plataforma Oracle E-Business Suite el 29 de septiembre de 2025, lo que desencadenó una investigación interna. Más tarde se determinó que el origen de la intrusión fue una vulnerabilidad crítica (CVE-2025-61882), explotada entre el 9 y el 14 de agosto de 2025 por atacantes no identificados inicialmente.
Esta falla permite ejecución remota de código sin autenticación, lo que significa que un atacante con acceso a la red HTTP podría ejecutar comandos arbitrarios.
Oracle emitió un parche de emergencia el 4 de octubre de 2025, fuera de su ciclo habitual de actualizaciones, para corregir la vulnerabilidad.
El rol de Cl0p en el ataqueLa brecha parece estar vinculada al grupo de ransomware Cl0p, que ha reivindicado la explotación de la vulnerabilidad en comunicaciones de extorsión.
Analistas de CrowdStrike relacionan esta campaña con una rama conocida como "Graceful Spider", aunque no descartan que otros actores estén involucrados.
El método técnico empleado por los atacantes es complejo pero eficaz:
- Realizan una petición HTTP a /OA_HTML/SyncServlet para evadir la autenticación.
- Luego suben plantillas XSLT maliciosas mediante las rutas /OA_HTML/RF.jsp y /OA_HTML/OA.jsp o UiServlet.
Estas plantillas, al ser procesadas o previsualizadas, ejecutan código Java malicioso en memoria, lo que permite instalar web shells, mantener persistencia y exfiltrar datos.
Además, algunos informes indican que los atacantes usaron una cadena de explotación que incluye SSRF (Server-Side Request Forgery), inyección CRLF y deserialización insegura para lograr una ejecución de código completa.
Impacto y sectores afectados
El incidente compromete directamente la integridad de Cox Enterprises, un conglomerado estadounidense con presencia masiva en medios (Cox Media Group), telecomunicaciones (Cox Communications) y servicios automovilísticos (Cox Automotive). La empresa cuenta con alrededor de 55,000 empleados y reporta ingresos anuales de unos 23,000 millones de dólares. En consecuencia, la escala del impacto es alta.
Cl0p incluyó a Cox en su portal de filtraciones en la dark web el 27 de octubre de 2025, mostrando que la empresa no es la única víctima.
Otras organizaciones también han denunciado brechas similares, entre ellas Logitech, el Washington Post, GlobalLogic, Envoy Air y la Universidad de Harvard.
Datos potencialmente expuestos y respuesta de CoxEn la notificación dirigida a las 9,479 personas afectadas, Cox Enterprises ofreció un año de protección contra robo de identidad y monitoreo de crédito a través de IDX, sin costo. Sin embargo, la empresa no reveló en detalle qué tipo de datos se vieron comprometidos, más allá de «información personal».
Dado el modus operandi de Cl0p (doble extorsión), es probable que se hayan copiado documentos sensibles, bases de datos de clientes, nóminas, contratos u otros datos críticos antes de emitir amenazas de divulgación.
Además, esta no es la primera brecha para Cox: en junio de 2024, Cox Communications sufrió un ataque mediante una API backend expuesta que permitió reinicios masivos de módems y acceso a datos personales de clientes. En otra ocasión, en octubre de 2021, Cox Media Group fue víctima de ransomware que afectó sus transmisiones en vivo.
Riesgos, lecciones y recomendacionesEste incidente destaca varias lecciones clave para la industria tecnológica y las organizaciones que operan con sistemas críticos:
- La gestión de parches no puede esperar: La vulnerabilidad explotada (CVE-2025-61882) es altamente crítica (CVSS 9.8 ).
- Oracle emitió un parche fuera de su ciclo normal, lo que demuestra la urgencia.
- La exposición a Internet es un riesgo grave: Las instancias de Oracle EBS accesibles desde redes externas son especialmente vulnerables si no cuentan con controles de seguridad como firewalls, WAF o segmentación.
- Monitoreo e inteligencia de amenazas: Es esencial que las empresas mantengan una vigilancia activa, utilicen indicadores de compromiso (IOCs) y realicen análisis forense para detectar actividad sospechosa. Google Cloud, Mandiant y otras firmas ya han publicado detalles técnicos de la explotación.
- Respuesta ante incidentes y comunicaciones transparentes: Informar con rapidez, ofrecer servicios de protección a los afectados y colaborar con expertos en ciberseguridad son pasos fundamentales para mitigar el impacto reputacional y legal.
En fin...La brecha de datos en Cox Enterprises derivada del exploit de Oracle E-Business Suite (CVE-2025-61882) por parte del grupo Cl0p representa una nueva escalada en los ataques dirigidos a infraestructuras empresariales de misión crítica. Este incidente pone en evidencia la importancia de una gestión proactiva de vulnerabilidades, la necesidad de monitoreo continuo y la implementación de estrategias de defensa en profundidad.
Para organizaciones que utilizan Oracle EBS, la recomendación es clara: aplicar el parche de emergencia de inmediato, revisar configuraciones de red, implementar controles de acceso y realizar auditorías de seguridad. La prevención y la preparación son las claves para evitar que otros actores maliciosos se conviertan en las próximas víctimas de campañas de extorsión institucional.
Fuente: https://www.bleepingcomputer.com/