Vulnerabilità CVE-2025-61882: Una Grave Zero-Day nella Oracle E-Business Suite Sfruttata negli Attacchi di Furto Dati Cl0p
Un altro giorno porta un’altra preoccupazione per la sicurezza. Sulla scia di CVE-2025-41244, una vulnerabilità recentemente resa arma che interessa VMware Tools e VMware Aria Operations, i ricercatori hanno scoperto una nuova vulnerabilità zero-day. La nuova vulnerabilità critica di Oracle E-Business Suite identificata come CVE-2025-61882 è stata segnalata come sfruttata nell’ultima campagna di furto di dati collegata a Cl0p.
Nel 2025, i gruppi di ransomware si affidano sempre più allo sfruttamento di vulnerabilità come principale punto d’ingresso nei sistemi aziendali. Mentre l’ingegneria sociale e le credenziali rubate rimangono significativi vettori di attacco, gli exploit delle vulnerabilità sono diventati uno dei metodi più comuni per l’accesso iniziale. Gli attori della minaccia mostrano una chiara preferenza per le vulnerabilità a basso attrito e alto impatto, in particolare RCE non autenticato e vulnerabilità con proof-of-concept (PoC) disponibili pubblicamente.
Con oltre 37.500 nuove vulnerabilità registrate dal NIST quest’anno, è partita la corsa per i team di cybersecurity. Mentre lo sfruttamento delle vulnerabilità rimane il principale vettore di attacco e mentre le minacce informatiche diventano più sofisticate, il rilevamento proattivo è essenziale per ridurre la superficie di attacco e mitigare i rischi.
Registrati ora sulla SOC Prime Platform per accedere a un’ampia libreria di regole di rilevamento arricchite dal contesto e di intelligenza delle minacce guidata dall’AI, aiutandoti a rimanere un passo avanti agli attacchi che sfruttano vulnerabilità emergenti. Tutte le regole sono compatibili con diversi formati SIEM, EDR e Data Lake e mappate al framework MITRE ATT&CK® . Inoltre, ogni regola è arricchita con CTI link, sequenze temporali degli attacchi, configurazioni di audit, raccomandazioni di triage e altro contesto rilevante. Premi il pulsante Esplora Rilevamenti per vedere l’intero stack di rilevamento per una difesa proattiva contro vulnerabilità critiche filtrate per il tag “CVE”.
Gli ingegneri della sicurezza possono anche sfruttare Uncoder AI, un IDE e co-pilota per l’ingegneria del rilevamento. Con Uncoder, i difensori possono convertire instantaneamente gli IOC in query di ricerca personalizzate, creare codice di rilevamento dai rapporti sulle minacce grezzi, generare diagrammi Attack Flow, abilitare la previsione dei tag ATT&CK, sfruttare l’ottimizzazione delle query guidata dall’AI e tradurre i contenuti di rilevamento su più piattaforme.
Analisi CVE-2025-61882
Oracle ha recentemente rilasciato un aggiornamento d’emergenza per correggere una vulnerabilità critica nella sua E-Business Suite, che è stata attivamente sfruttata nei recenti attacchi di furto di dati di Cl0p ransomware . La vulnerabilità, segnalata come CVE-2025-61882 con un punteggio CVSS di 9.8, consente ad attaccanti remoti non autenticati di compromettere il componente Oracle Concurrent Processing via HTTP e ottenere il pieno controllo sui sistemi interessati. Le versioni impattate includono dalla 12.2.3 alla 12.2.14.
L’avviso di Oracle conferma che la vulnerabilità può essere sfruttata da remoto senza credenziali, portando a potenziali RCE. La patch affronta anche vettori di sfruttamento aggiuntivi scoperti durante l’indagine interna dell’azienda. La correzione richiede l’installazione previa dell’aggiornamento per le patch critiche di ottobre 2023. Con un PoC pubblico disponibile e prove di sfruttamento attivo, il fornitore invita gli amministratori ad applicare immediatamente la patch come passo fattibile di mitigazione CVE-2025-61882.
Mandiant, di proprietà di Google, ha riferito che gli avversari stanno conducendo una campagna e-mail su larga scala utilizzando centinaia di account compromessi. Il CTO di Mandiant Charles Carmakal ha confermato che Cl0p ha sfruttato questa e altre vulnerabilità di Oracle EBS, alcune delle quali corrette a metà estate 2025, per rubare grandi volumi di dati da più vittime in agosto 2025. Ha sottolineato che, data la scala dello sfruttamento e la probabilità di attacchi continui da parte di altri attori, le organizzazioni dovrebbero investigare proattivamente per segni di compromissione, indipendentemente dallo stato di patch.
L’aumento di attacchi zero-day su prodotti mainstream, combinato con la loro crescente sfruttabilità, sta costringendo le organizzazioni ad adottare strategie più rapide e robuste per stare al passo degli attaccanti. SOC Prime cura un’ampia suite di prodotti che combina il massimo expertise in cybersecurity e AI, è costruita su principi di zero trust, ed è supportata da tecnologie automatizzate e intelligenza delle minacce in tempo reale, consentendo ai team di sicurezza di superare le minacce informatiche moderne, indipendentemente dalla loro sofisticazione.
