Clop explota vulnerabilidad crítica de día cero en Oracle E-Business Suite

La temida banda de ransomware Clop ha vuelto a ser noticia tras confirmarse que ha estado explotando una vulnerabilidad crítica de día cero en Oracle E-Business Suite (EBS) para realizar ataques de robo de datos corporativos desde principios de agosto de 2025. La firma de ciberseguridad CrowdStrike confirmó la campaña y señaló que la falla, rastreada como CVE-2025-61882, representa una amenaza severa para las organizaciones que aún no han aplicado el parche de seguridad liberado por Oracle.

Una falla crítica con potencial de ejecución remota de código

La vulnerabilidad CVE-2025-61882, corregida recientemente por Oracle, reside en el componente BI Publisher Integration del módulo Concurrent Processing de EBS. Este error permite que atacantes no autenticados ejecuten código de manera remota en sistemas vulnerables sin interacción del usuario, lo que facilita la infiltración y exfiltración de datos sensibles con muy baja complejidad técnica.

Investigadores de watchTowr Labs descubrieron, tras realizar ingeniería inversa a un exploit de prueba de concepto (PoC) filtrado por el grupo de ciberdelincuencia Scatter Lapsus$ Hunters, que CVE-2025-61882 no es una vulnerabilidad aislada, sino una cadena de fallas interconectadas. Esta cadena permite que los atacantes obtengan ejecución remota de código (RCE) a través de una sola solicitud HTTP, incrementando drásticamente el riesgo de explotación masiva.

CrowdStrike confirma explotación activa desde agosto

De acuerdo con un informe publicado por CrowdStrike Intelligence, la banda de ransomware Clop comenzó a explotar la falla desde el 9 de agosto de 2025 como un día cero, antes de que Oracle tuviera conocimiento del error. Los investigadores detectaron múltiples incidentes en los que los atacantes comprometieron servidores EBS y robaron documentos confidenciales, probablemente con fines de extorsión.

"CrowdStrike evalúa con confianza moderada que GRACEFUL SPIDER, el grupo detrás de Clop, está involucrado directamente en esta campaña, aunque no se descarta la participación de otros actores de amenazas", señalaron los analistas.

La publicación del PoC el 3 de octubre de 2025, junto con el lanzamiento del parche oficial, podría detonar un aumento en los intentos de explotación. Los expertos de CrowdStrike advierten que cualquier instancia de Oracle EBS expuesta a Internet podría ser vulnerable si no se ha actualizado de inmediato.

Clop intensifica sus campañas de extorsión

Fuentes de Mandiant y del Google Threat Intelligence Group (GTIG) revelaron a BleepingComputer que Clop ha estado enviando correos electrónicos de extorsión a ejecutivos de distintas compañías, reclamando la posesión de datos robados desde sistemas Oracle E-Business Suite comprometidos. En estos mensajes, los atacantes amenazan con publicar la información si las víctimas no pagan un rescate en criptomonedas.

El jueves, Oracle confirmó la conexión entre estos intentos de extorsión y la vulnerabilidad CVE-2025-61882, instando a todos sus clientes a aplicar los parches sin demora.

"Oracle recomienda encarecidamente que los clientes instalen las actualizaciones proporcionadas por esta alerta de seguridad lo antes posible. Permanecer en versiones con soporte activo y aplicar todos los parches críticos es esencial para mitigar el riesgo", declaró la compañía.

Historial de ataques de día cero de Clop

El grupo Clop, también conocido como GRACEFUL SPIDER, tiene un historial bien documentado de aprovechar vulnerabilidades de día cero para realizar campañas masivas de robo de datos. En enero de 2025, la banda comprometió múltiples organizaciones explotando una falla crítica (CVE-2024-50623) en el software Cleo Integration Cloud, utilizado para transferencias seguras de archivos.

Previamente, el grupo fue responsable de ataques similares contra Accellion FTA, GoAnywhere MFT y MOVEit Transfer, siendo este último uno de los incidentes de exfiltración más grandes de la historia, con más de 2.770 organizaciones afectadas en todo el mundo.

Estas operaciones le han permitido a Clop construir una infraestructura de extorsión global, vendiendo los datos robados o publicándolos en la dark web para presionar a las víctimas. Dada su sofisticación y persistencia, el Departamento de Estado de Estados Unidos ofrece actualmente una recompensa de 10 millones de dólares por información que vincule a Clop con algún gobierno extranjero o permita su desmantelamiento.

Un llamado urgente a la acción

La combinación de una vulnerabilidad crítica, un exploit público y un grupo con amplia experiencia en campañas de extorsión convierte a CVE-2025-61882 en una de las amenazas más graves del año para las empresas que utilizan Oracle E-Business Suite.
Tanto CrowdStrike como Oracle coinciden en que la prioridad inmediata es aplicar el parche de seguridad y revisar las configuraciones de exposición de EBS a Internet.

Los administradores de sistemas deben verificar si sus entornos se encuentran actualizados, revisar los logs en busca de actividad sospechosa y, de ser posible, segmentar los servidores de Oracle del resto de la red corporativa para reducir la superficie de ataque.

En fin...

El caso de Clop y la vulnerabilidad CVE-2025-61882 refleja cómo los actores de amenazas continúan aprovechando fallos críticos en software empresarial ampliamente utilizado. A medida que la frontera entre las aplicaciones locales y los servicios en la nube se difumina, los ataques de día cero seguirán siendo una de las armas preferidas por los grupos de ransomware más peligrosos del mundo.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login