Jetzt patchen! Angreifer erpressen Oracle-E-Business-Suite-Kunden
Admins der Oracle-Software E-Business Suite sollten ihre Instanzen aufgrund von derzeit laufenden Attacken absichern.
(Bild: Foxeel,Shutterstock.com)
Der Softwarehersteller Oracle warnt vor Attacken auf E-Business Suite (EBS). Im Anschluss sollen die unbekannten Täter versuchen, Oracle-Kunden zu erpressen. Admins sollten umgehend die seit Juli dieses Jahres verfügbaren Sicherheitsupdates installieren.
Attackiert und erpresst
In einem knappen Beitrag weist Oracle auf die Angriffe hin. Dem Softwarehersteller zufolge erhalten einige EBS-Kunden derzeit erpresserische E-Mails. In der Regel laufen solche Attacken so ab, dass Angreifer auf verschiedenen Wegen Zugriff auf Server bekommen, Daten kopieren und mit deren Veröffentlichung drohen. Das geht mit einer Lösegeldforderung einher. Weitere Details zu diesem konkreten Fall und in welchem Umfang die Attacken ablaufen, liegen derzeit nicht vor. Für weiterführende Anfragen sollen Oracle-Kunden den Support kontaktieren.
Oracle gibt an, dass die Angreifer wahrscheinlich an einer im Juli 2025 geschlossenen SicherheitslĂĽcke ansetzen, um Zugriff auf Systeme zu bekommen. Welche Schwachstelle das konkret ist, fĂĽhren sie nicht weiter aus. In EBS haben sie insgesamt neun SicherheitslĂĽcken geschlossen. Davon sind drei Schwachstellen (CVE-2025-30745 "mittel", CVE-2025-30746 "mittel", CVE-2025-50107 "mittel") aus der Ferne und ohne Authentifizierung ausnutzbar.
Mittlerweile hat Oracle diese Angaben korrigiert und stellt ein Emergency-Update für eine neue Lücke namens CVE-2025-61882 bereit. Diese ermöglicht demnach Remote Code Execution ohne Authentifizierung (CVSS 9.8). Die Lücke betrifft Oracle 12.2.3-12.2.14; wer eine dieser Versionen einsetzt, sollte dieses Update dringendst einspielen, da der nötige Exploit-Code mittlerweile im Untergrund kursiert. Eine erste Beschreibung, was dieser Exploit anstellt, hat das Sans Internet Storm Center veröffentlicht.
Entgegen Oracles ursprünglichen Aussagen handelt es sich also um eine Zero-Day-Lücke in Oracle E-Business Suite, die den Angreifern mindestens seit Juni bekannt ist. Dieses Datum tragen jedenfalls die Exploit-Skripte, die heise security vorliegen. Wer eine anfällige Version einsetzt, sollte also davon ausgehen, dass er in der Zwischenzeit bereits kompromittiert wurde und nach dem Patchen unbedingt nach möglichen Zeichen für einen solchen Einbruch suchen. Sollte bislang kein Erpressungsschreiben eingegangen sein, bedeutet das auch keine Entwarnung. Clop arbeitet seine Opfer der Reihe nach ab; das kann sich durchaus über Wochen und Monate hinziehen.
Videos by heise
Systeme gegen Attacken rĂĽsten
Im Zuge des Critical Patch Updates im Juli haben die Entwickler insgesamt 309 Sicherheitsupdates veröffentlicht. Admins von Oracle-Software, insbesondere EBS, sollten sicherstellen, dass ihre Systeme auf dem aktuellen Stand sind. Oracle veröffentlicht Sicherheitsupdates immer gesammelt und quartalsweise. Es gibt aber auch Notfallupdates außer der Reihe, wenn die Umstände es erfordern.
(des)
