Vào ngày 9 tháng 8 năm 2025, các chuyên gia an ninh mạng của CrowdStrike đã ghi nhận những dấu hiệu đầu tiên về việc lỗ hổng bảo mật nghiêm trọng CVE-2025-61882 trên hệ thống Oracle E-Business Suite (EBS) bị khai thác. Với điểm số CVSS 9.8, lỗ hổng này cho phép kẻ tấn công thực thi mã từ xa mà không cần xác thực, mở ra cánh cửa cho các hoạt động độc hại. CrowdStrike tin rằng nhóm tin tặc Graceful Spider, hay còn gọi là Cl0p, đứng sau các cuộc tấn công này.
Cơ chế tấn công ban đầu được ghi nhận bắt đầu bằng một yêu cầu HTTP đến `/OA_HTML/SyncServlet`, dẫn đến việc vượt qua lớp xác thực. Sau đó, kẻ tấn công nhắm vào Oracle’s XML Publisher Template Manager bằng cách gửi các yêu cầu GET và POST tới `/OA_HTML/RF.jsp` và `/OA_HTML/OA.jsp`. Mục đích là để tải lên và thực thi một mẫu XSLT độc hại. Khi mẫu này được xem trước, các lệnh được nhúng bên trong sẽ được thực thi, tạo ra một kết nối đi từ máy chủ web Java đến hạ tầng do kẻ tấn công kiểm soát qua cổng 443.
Kết nối này sau đó được sử dụng để tải các web shell từ xa, cho phép kẻ tấn công thực thi lệnh và thiết lập quyền truy cập dai dẳng trên hệ thống. Đáng chú ý, một kênh Telegram đã xuất hiện, chia sẻ công khai về lỗ hổng này và thậm chí còn chỉ trích chiến thuật của Graceful Spider, trong khi đó lại ngụ ý về sự hợp tác giữa Scattered Spider, LAPSUS$ và ShinyHunters. Hiện vẫn chưa rõ làm thế nào kênh này có được bản khai thác.
Phân tích sâu hơn từ WatchTowr Labs tiết lộ một chuỗi tấn công tinh vi, kết hợp ít nhất năm lỗ hổng khác nhau để đạt được mục tiêu thực thi mã từ xa trước khi xác thực. Chuỗi này bao gồm việc sử dụng Server-Side Request Forgery (SSRF) để buộc máy chủ gửi các yêu cầu HTTP tùy ý, sau đó là Carriage Return/Line Feed (CRLF) Injection để chèn các header độc hại vào các yêu cầu này. Sự kết hợp này cho phép kẻ tấn công kiểm soát việc định dạng yêu cầu và tái sử dụng kết nối TCP để thực hiện nhiều yêu cầu liên tiếp, tăng độ tin cậy và giảm thiểu khả năng bị phát hiện.
Việc lỗ hổng này đã được thêm vào danh mục Known Exploited Vulnerabilities (KEV) của CISA, đồng thời cảnh báo về việc nó đã được sử dụng trong các chiến dịch ransomware, cho thấy mức độ nguy hiểm và tính cấp bách của vấn đề. Các chuyên gia tin rằng việc công khai bản khai thác và bản vá sẽ khuyến khích nhiều nhóm tin tặc hơn nữa, đặc biệt là những nhóm am hiểu về Oracle EBS, tìm cách khai thác lỗ hổng này trên các ứng dụng đang bị lộ ra internet.
Tóm lại, vụ tấn công Oracle EBS thông qua lỗ hổng CVE-2025-61882 bởi nhóm Cl0p là một lời cảnh báo nghiêm trọng cho các tổ chức đang sử dụng hệ thống này. Với khả năng thực thi mã từ xa không cần xác thực và chuỗi khai thác tinh vi, nguy cơ mất dữ liệu và bị kiểm soát hệ thống là rất cao. Các doanh nghiệp cần khẩn trương áp dụng các bản vá bảo mật, tiến hành săn lùng các dấu hiệu xâm nhập và thắt chặt các biện pháp kiểm soát an ninh ngay lập tức để bảo vệ hệ thống của mình.
