Утечка скриптов CVE-2025-61882: начинается новая волна атак на Oracle EBS

Уязвимость в Oracle E-Business Suite (EBS), получившая обозначение CVE-2025-61882, стала предметом анализа исследователей, поскольку скрипты для её эксплуатации были выложены в Telegram. Пока остаётся неизвестным, какие именно группы причастны — Cl0p, LAPSUS$, обе сразу или ещё кто-то.

Уязвимость как комбинация слабых мест

CVE-2025-61882 не представляет собой единичную уязвимость, а объединяет несколько небольших и средних недостатков. Это позволяет злоумышленникам создать цепочку атак, которая демонстрирует глубокое понимание архитектуры Oracle EBS. Как отметили специалисты watchTowr, первооткрыватель уязвимости, вероятно, обладает значительным опытом работы с данной платформой.

Для реализации атаки злоумышленникам необходимы два скрипта: Server.py — реализация HTTP-сервера, и exp.py — клиент, который заставляет сервер Oracle EBS загрузить вредоносную нагрузку. Последний отправляет специализированный HTTP-запрос, в котором URL-адрес, указывающий на сервер злоумышленника, закодирован числами HTML-сущностей. Это позволяет обойти базовые фильтры безопасности и выполнить атаку типа SSRF (Server-Side Request Forgery).

Как происходит эксплуатация

После получения запроса Oracle EBS загружает вредоносный XSL-файл, в котором содержится встроенный JavaScript-код. Данный код декодируется и выполняется через API Java javax.script. В результате на сервере запускается обратная оболочка (reverse shell), предоставляющая злоумышленнику интерактивный доступ к системе. Оболочка обычно работает от имени пользователя Oracle, что даёт широкие возможности для дальнейших действий.

i

Создано специально для ASECTOR

Концептуальное изображение

Что известно о масштабе и причастных

Oracle сначала заявила, что атакующие использовали уязвимости, исправленные в июле 2025 года, но позже убрала это упоминание. На данный момент точно известно, что эксплуатация CVE-2025-61882 началась в августе 2025 года, как сообщило Mandiant. Некоторые компании уже получили письма с требованием выкупа от Cl0p, что указывает на то, что они были атакованы.

Все организации, использующие Oracle EBS на публичных серверах, должны проверить свои системы на наличие признаков компрометации и применить рекомендации из официального уведомления Oracle. Уязвимость уже добавлена в каталог эксплуатируемых уязвимостей CISA, а исследователи watchTowr опубликовали скрипт для проверки уязвимости.

Утечка скриптов CVE-2025-61882: как уязвимость становится инструментом массовой атаки

Цепочка уязвимостей как стратегический инструмент

CVE-2025-61882 — это не отдельная «дыра», а комбинация нескольких слабых мест, объединённых в цепочку атак. Такой подход позволяет злоумышленникам обойти стандартные защитные механизмы и получить доступ к системе на уровне, который трудно контролировать. Это указывает на высокий уровень подготовки атакующих: они не только ищут уязвимости, а понимают, как их комбинировать для максимального эффекта.

Ключевая особенность: использование SSRF-атаки с кодировкой URL-адреса через HTML-сущности — это не только техническая хитрость, а способ обойти фильтры безопасности, которые не учитывают подобные методы маскировки. Это означает, что даже системы с базовым уровнем защиты остаются уязвимыми.

Важный нюанс: Атакующие не только ищут уязвимости — они изучают архитектуру целевой системы и находят точки, где защита наиболее предсказуема.

От уязвимости к эксплуатации: как злоумышленники получают контроль

После успешной атаки злоумышленник получает обратную оболочку, которая работает от имени пользователя Oracle. Это даёт ему полный контроль над системой, включая доступ к базам данных, конфигурациям и логам. В контексте Oracle EBS, который часто используется в крупных организациях, это может привести к утечке финансовой, клиентской и операционной информации.

Важно отметить, что группа Clop уже использует эту уязвимость для массовых атак. По данным на 2 октября 2025 года, они начали рассылать угрозы выкупа руководству компаний, утверждая, что получили доступ к конфиденциальной информации. Одной из жертв потребовали $50 млн, что демонстрирует масштаб и серьёзность угрозы.

Важный нюанс: Современные атаки становятся всё более «умными»: они не зависят от единичных ошибок, а используют комбинации слабых мест и стандартные процессы, чтобы обойти защиту.

Кто в опасности и как реагировать

Уязвимость касается всех организаций, использующих Oracle EBS на публичных серверах. Это особенно актуально для компаний в финансовой, телекоммуникационной и государственной сферах, где Oracle EBS часто используется как центральная платформа для управления бизнес-процессами.

При этом важно учитывать, что уязвимость уже включена в список CISA, а значит, её эксплуатация может быть приоритетной для киберпреступников. Организациям нужно не только проверить свои системы на уязвимости, но и пересмотреть стратегию обновления ПО, особенно если они откладывают обновления из-за сложности интеграции или риска сбоя.

Важный нюанс: Утечка скриптов может запустить волнообразную атаку: сначала — атакующие используют её для получения доступа, затем — для масштабного вымогательства или шпионажа.

Расширение угроз: новые методы и масштабы атак

Помимо CVE-2025-61882, стоит обратить внимание на другие тренды в сфере кибербезопасности, которые усиливают общую угрозу:

• Маскировка вредоносного ПО: Злоумышленники всё чаще скрывают вредоносные скрипты в обычных форматах, таких как ZIP, PDF, SVG и CHM. Это позволяет им обходить стандартные системы безопасности и обеспечивает удалённый доступ к инфраструктуре жертв.
• Рост атак через подрядчиков: В 2024 году количество атак через ИТ-подрядчиков выросло в три раза. Это связано с низким уровнем кибербезопасности у многих российских подрядчиков, что делает их популярным вектором атак.
• Мобильные угрозы: В 2025 году атаки на Android-устройства в России выросли в 36 раз. Особенно активны трояны, такие как Mamont и Triada, которые позволяют злоумышленникам красть данные и контролировать устройства.
• Использование ИИ в атаках: Недавно исследователи обнаружили вирус-вымогатель PromptLock, который использует искусственный интеллект для генерации вредоносного кода. Хотя он пока не использовался в реальных атаках, он демонстрирует новые направления развития угроз.

Эти данные подчеркивают необходимость комплексного подхода к кибербезопасности. Организации должны не только защищать свои основные системы, но и уделять внимание безопасности подрядчиков, мобильных устройств и новых технологий, включая ИИ.