Un importante attacco informatico ha colpito decine di organizzazioni a causa dello sfruttamento di una vulnerabilità zero-day all'interno della suite Oracle E-Business Suite (EBS). Questa campagna, attribuita al gruppo ransomware Cl0p, è stata scoperta grazie all’attività di analisi congiunta di Google Threat Intelligence Group (GTIG) e Mandiant, che hanno evidenziato come la falla sia stata sfruttata attivamente almeno dal 9 agosto 2025, con alcune attività sospette risalenti già a luglio.

Dettagli sulla vulnerabilità

La vulnerabilità è stata identificata come CVE-2025-61882, con un punteggio di gravità CVSS pari a 9.8, e ha permesso agli attaccanti di penetrare nei sistemi bersaglio e sottrarre dati sensibili. Oracle ha già rilasciato le patch per correggere il problema, ma il danno si è diffuso rapidamente prima dell’aggiornamento. Nonostante l’impatto sia ancora in fase di valutazione, si stima che siano coinvolte decine di aziende.

Tecniche di attacco utilizzate

Gli attaccanti hanno utilizzato una combinazione di diverse tecniche, tra cui:

• Server-Side Request Forgery (SSRF)
• CRLF injection
• Bypass di autenticazione
• XSL template injection

Queste tecniche hanno consentito l’esecuzione di codice remoto sui server Oracle EBS colpiti. In particolare, la vulnerabilità è stata sfruttata attraverso il componente "/OA_HTML/SyncServlet", che consentiva l’attivazione di payload XSL malevoli tramite la funzionalità Template Preview.

Strumenti e malware impiegati

Il gruppo Cl0p, noto dal 2020 per massicce campagne di sfruttamento di zero-day su software enterprise come Accellion, MOVEit e Cleo LexiCom, ha orchestrato l’attacco utilizzando anche sofisticati malware:

• GOLDVEIN.JAVA: un downloader in Java in grado di ricevere payload da server di comando e controllo
• SAGEGIFT: un loader customizzato per Oracle WebLogic che permette di installare dropper e filtri servlet malevoli

Estorsione e campagne di phishing

L’attacco ha avuto una componente di estorsione: a partire dal 29 settembre 2025, i responsabili hanno condotto campagne di phishing via email rivolte a dirigenti di azienda, inviando messaggi da centinaia di account compromessi e minacciando la pubblicazione dei dati esfiltrati. Tuttavia, come già accaduto in precedenza, i nomi delle vittime non sono stati subito pubblicati sul sito leak di Cl0p, lasciando un margine temporale per i negoziati.

Considerazioni sulla sicurezza

L’analisi indica anche sovrapposizioni tra strumenti Cl0p e quelli attribuiti al gruppo FIN11, suggerendo che la strategia di sfruttamento di vulnerabilità zero-day seguita da campagne di estorsione su larga scala sia ormai una prassi nel cybercrime. Il caso sottolinea l’urgenza per le aziende di aggiornare tempestivamente i software esposti e monitorare costantemente le attività anomale.