A Oracle emitiu uma atualização de segurança urgente para corrigir uma vulnerabilidade de dia-zero, extremamente crítica, na sua popular plataforma E-Business Suite. A falha, rastreada como CVE-2025-61882, estava a ser ativamente explorada pelo grupo de ransomware Clop para roubar dados sensíveis de empresas em todo o mundo.
Com uma pontuação de gravidade de 9.8 em 10, esta vulnerabilidade permitia que atacantes executassem código remotamente nos sistemas afetados sem qualquer tipo de autenticação. Ou seja, um atacante podia tomar o controlo de parte da infraestrutura de uma empresa através da internet, sem precisar de um nome de utilizador ou palavra-passe. A falha afeta as versões 12.2.3 a 12.2.14 do Oracle E-Business Suite.
O rasto de destruição do Clop
O grupo Clop tem um longo e preocupante historial de ataques que exploram falhas de dia-zero. Desde o ataque à plataforma MOVEit em 2023, que afetou quase 3.000 organizações, até falhas em produtos da Accellion, SolarWinds e GoAnywhere, estes hackers especializam-se em encontrar e explorar brechas de segurança antes que estas sejam conhecidas publicamente.
Nesta mais recente campanha, que decorreu em agosto de 2025, o grupo explorou a vulnerabilidade da Oracle para exfiltrar grandes volumes de dados de várias empresas. De seguida, os atacantes enviaram emails de extorsão, exigindo um resgate para não divulgarem a informação roubada. A confirmação de que esta falha foi usada nos ataques veio da Mandiant, uma empresa de cibersegurança da Google.
Uma reviravolta com a fuga da ferramenta de ataque
Para adicionar mais drama à situação, um outro grupo de cibercriminosos, autointitulado "Scattered Lapsus$ Hunters", acabou por divulgar publicamente a ferramenta de exploração (exploit) no Telegram. Este grupo, que alega ser composto por membros dos conhecidos Scattered Spider, Lapsus$ e ShinyHunters, tornou assim a vida mais fácil a outros atacantes que queiram explorar a mesma falha.
Segundo o site BleepingComputer, os ficheiros divulgados continham o código exato para executar comandos ou abrir um acesso remoto (reverse shell) num sistema vulnerável, confirmando que se tratava da mesma ferramenta usada pelo Clop. Esta fuga levanta questões sobre uma possível colaboração entre os dois grupos.
Oracle responde e pede ação imediata
Perante a gravidade da situação, a Oracle lançou um patch de emergência e publicou indicadores de compromisso para ajudar as empresas a detetar se foram alvo de ataque. A empresa sublinha a urgência na aplicação da correção, dado que a falha está a ser ativamente explorada e a prova de conceito (PoC) é pública.
Para instalar a nova atualização, os clientes devem primeiro garantir que têm o "Critical Patch Update" de outubro de 2023 instalado. A recomendação é clara: os administradores de sistemas que utilizam o Oracle E-Business Suite devem aplicar esta correção o mais rapidamente possível para se protegerem.
Nenhum comentário
Seja o primeiro!