5 Ottobre 2025 10:56    Alert

Oracle E-Business Suite: zero-day RCE (CVE-2025-61882) su BI Publisher Integration, Cl0p e Scattered Lapsus$ avviano estorsioni

Oracle e ACN hanno confermato la presenza di una vulnerabilità zero-day (CVE-2025-61882, CVSS 9.8) nella componente BI Publisher Integration di Oracle E-Business Suite (EBS), coinvolgendo tutte le versioni 12.2.3–12.2.14. Il bug consente a un attaccante remoto non autenticato di ottenere esecuzione di codice arbitrario inviando richieste HTTP appositamente costruite all’interfaccia BI Publisher / Concurrent Processing, con totale compromissione del sistema.

La falla è stata sfruttata dal gruppo ransomware Cl0p e dal gruppo Scattered Lapsus$, mediante campagne di phishing, estorsione e furto dati, a partire da agosto 2025. Exploit pubblici e dettagli sui comandi usati (reverse shell Bash verso IP malevoli, archivi PoC diffusi su Telegram) sono circolati rapidamente fra criminali e ricercatori, alzando lo stato di allerta internazionale. Alcune vittime hanno ricevuto richieste di “riscatto” fino a decine di milioni di euro e dimostrazioni di accesso illegittimo ai database EBS violati.
 

Impatto:

  • Compromissione server e database (inclusi payroll e dati finanziari sensibili)

  • Estorsione di dati, blocco servizi, rischio supply chain su aziende multinazionali

  • Alta probabilità di exploitation a causa dell’elevata esposizione di istanze EBS e disponibilità di PoC tecnico open source
     

Azioni consigliate:

  • Applicare immediatamente gli aggiornamenti di sicurezza Oracle pubblicati il 4 ottobre 2025 (dopo aver installato la CPU di ottobre 2023)

  • Minimizzare l’esposizione internet dei sistemi EBS e instradare l’accesso solo tramite VPN e reverse proxy

  • Attivare sistemi WAF/IDS/IPS su endpoint BI Publisher, revisionare i log e ruotare le credenziali

  • Cercare indicatori di compromissione come IP sospetti, reverse shell e archivi anomali
     

Conclusione:
La gravità del rischio è massima: sistemi Oracle EBS esposti senza patch sono target privilegiati. Le best practice di segmentazione, hardening e patch management sono fondamentali per prevenire further exploitation e garantire la business continuity.

Fonti: ACN, TenableBleepingcomputer