Ransomware-Angriffe auf Oracles E-Business Suite
Oracle hatte die Sicherheitslücke in seiner E-Business Suite bereits Anfang dieses Monats bekanntgegeben, nannte zu diesem Zeitpunkt aber keine Details. Nun warnte diese Woche die US-Behörde CISA vor Ransomware-Angriffen und stufte den Vorfall als schwerwiegend ein. Googles Sicherheitsforscher haben einen Verdacht, wer hinter der Bedrohung steckt.
Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) hat bestätigt, dass eine Sicherheitslücke in Oracle E-Business Suite für Ransomware-Angriffe ausgenutzt wurde. Die Sicherheitslücke mit der Kennung CVE-2025-61884 ist unabhängig von der jüngsten Schwachstelle, die mit einer weit verbreiteten Datenerpressungskampagne gegen Kunden der E-Business Suite in Verbindung gebracht worden war.
In einer Mitteilung vom Montag dieser Woche hat die CISA CVE-2025-61884 in ihren Katalog der Schwachstellen aufgenommen, von denen bekannt ist, dass sie von Angreifern ausgenutzt wurden. Oracle hatte die Schwachstelle ursprünglich am 11. Oktober bekannt gegeben, jedoch ohne Details zur Ausnutzung zu nennen. CRN hat Oracle um eine Stellungnahme gebeten.
In dem Eintrag zum Schwachstellenkatalog bestätigte die CISA, dass die Schwachstelle im Zusammenhang mit Server-Side Request Forgery für eine Ransomware-Kampagne ausgenutzt wurde. "Diese Art von Schwachstellen sind häufige Angriffsvektoren für böswillige Cyberattacken und stellen ein erhebliches Risiko für Bundesbehörden dar", so CISA in ihrer Empfehlung. Die Behörde forderte die Bundesbehörden auf, bis zum 10. November Korrekturen für das Problem zu implementieren.
Obwohl die Anordnung nur für zivile US-Behörden der Exekutive des Bundes gilt, "fordert die CISA alle Organisationen nachdrücklich auf, ihre Anfälligkeit für Cyberangriffe zu verringern, indem sie die zeitnahe Behebung [solcher] Schwachstellen als Teil ihrer Schwachstellenmanagement-Praxis priorisieren", teilte die Behörde ferner mit.
Sicherheitslücke mit hohem Schweregrad
Die Schwachstelle wurde mit einer Schweregradbewertung von 7,5 von 10,0 eingestuft, was sie zu einem Problem mit hohem Schweregrad macht. "CVE-2025-61884 ist in der Lage, eine Authentifizierung aus der Ferne durchzuführen, d. h. sie kann über ein Netzwerk ohne Benutzername und Passwort ausgenutzt werden", schrieb Oracle in seiner Empfehlung vom 11. Oktober. "Wenn diese Schwachstelle erfolgreich ausgenutzt wird, kann sie den Zugriff auf sensible Ressourcen ermöglichen."
Für die betroffenen Versionen der E-Business Suite (Versionen 12.2.3-12.2.14) sind Patches verfügbar, teilte Oracle mit. Laut einem Bericht von BleepingComputer wird angenommen, dass die Sicherheitslücke im Juli bei einer Cyberangriffskampagne ausgenutzt wurde.
Cyberkriminellen-Gruppe Clop steckt möglicherweise hinter der Bedrohung
Die weit verbreitete Datenerpressungskampagne, die sich gegen Kunden der Oracle E-Business Suite richtete, soll laut BleepingComputer im August stattgefunden haben. Bei diesen Angriffen wurde eine kritische Sicherheitslücke in der E-Business Suite ausgenutzt, die unter der Nummer CVE-2025-61882 erfasst wurde.
Bedrohungsakteure haben Daten gestohlen und anschließend Erpressungs-E-Mails an eine Reihe von Organisationen verschickt. Googles Sicherheitsexperten (ehemals Mandiant und der Google Threat Intelligence Group) haben die Angriffe mi der Cyberkriminellen-Gruppe Clop in Verbindung gebracht.
Der Artikel erschien zuerst bei unserer Schwesterpublikation crn.com.
CRN-Newsletter beziehen und Archiv nutzen - kostenlos: Jetzt bei der CRN Community anmelden