Canon potwierdza incydent po kampanii ataków na Oracle E-Business Suite (EBS)

securitybeztabu.pl 14 godzin temu

Wprowadzenie do problemu / definicja luki

Canon potwierdził, iż incydent dotknął spółkę zależną firmy w wyniku niedawnej kampanii wymierzonej w instalacje Oracle E-Business Suite (EBS). Według oświadczenia przesłanego do redakcji SecurityWeek, wpływ został ograniczony do serwera WWW i przywrócono już jego działanie po wdrożeniu środków bezpieczeństwa. Na moment publikacji nie ujawniono wycieku danych Canon.

W skrócie

  • Kampania dotyka dziesiątki organizacji, a na stronie wycieków Cl0p widnieje ponad 100 domniemanych ofiar.
  • Ataki łączone są z wykorzystywaniem luk w Oracle EBS, w tym CVE-2025-61882 (pre-auth RCE) i CVE-2025-61884 (SSRF w Oracle Configurator Runtime UI).
  • CISA dodała CVE-2025-61884 do katalogu KEV (Known Exploited Vulnerabilities), potwierdzając jej wykorzystywanie „in the wild”.
  • Kampanię przypisuje się klasie aktora FIN11, przy czym komunikację z ofiarami sygnował Cl0p.

Kontekst / historia / powiązania

Na początku października 2025 r. Oracle i firmy badawcze opisały ukierunkowaną kampanię kradzieży danych i wymuszeń na klientach EBS. W krótkim czasie pojawiły się dwa pilne alerty bezpieczeństwa: najpierw dla CVE-2025-61882 (zero-day RCE), a następnie – poza zwykłym cyklem – dla CVE-2025-61884. Google Threat Intelligence wskazał, iż ataki zaczęły się już w sierpniu, a do eskalacji służył łańcuch technik obejmujący m.in. SSRF i inne prymitywy webowe; e-maile z żądaniami okupu podpisywał Cl0p, ale taktyki przypominały wcześniejsze kampanie FIN11.

Analiza techniczna / szczegóły luki

CVE-2025-61882 (EBS – pre-auth RCE). CrowdStrike opisał zero-day umożliwiający zdalne wykonanie kodu bez uwierzytelnienia w komponentach EBS. Wektor ataku był dostępny z sieci (HTTP), co przekładało się na wysoką podatność środowisk wystawionych do Internetu.

CVE-2025-61884 (Oracle Configurator / Runtime UI – SSRF). Oracle wydał out-of-band Security Alert, podkreślając, iż luka jest łatwa do wykorzystania, nie wymaga uprawnień ani interakcji użytkownika i może prowadzić do dostępu do wrażliwych zasobów (CVSS 7.5). CISA włączyła CVE-2025-61884 do KEV, co nakazuje federalnym agencjom szybkie wdrożenie łatek/mitigacji. Opisy w NVD i CISA klasyfikują problem jako SSRF w komponencie Runtime UI Oracle Configurator (EBS 12.2.3–12.2.14).

Łańcuch eksploatacji. Google Threat Intelligence odnotował, iż publicznie wyciekły narzędzia/PoC łączyły SSRF, CRLF-injection, obejście uwierzytelnienia oraz wstrzyknięcia XSL do osiągnięcia wykonania kodu na serwerze EBS. W konsekwencji atakujący potrafili wydobywać pliki i przeprowadzać wymuszenia finansowe na ofiarach.

Praktyczne konsekwencje / ryzyko

  • Ryzyko kradzieży danych biznesowych (np. dokumentów finansowych, ofert, konfiguracji) z serwerów EBS, choćby bez kompromitacji kont użytkowników.
  • Zakłócenia operacyjne w procesach ERP (zamówienia, logistyka, finanse), o ile atak obejmie także komponenty RCE (CVE-2025-61882).
  • Ryzyko reputacyjne i prawne wynikające z publikacji danych na stronach wycieków Cl0p oraz masowych powiadomień o naruszeniach.

Rekomendacje operacyjne / co zrobić teraz

  1. Natychmiast zaaplikuj poprawki Oracle:
    • Security Alerts dla CVE-2025-61882 i CVE-2025-61884 oraz pełny CPU October 2025 dla EBS. Priorytet: instancje z dostępem z Internetu/VPN.
  2. Ogranicz ekspozycję EBS: wymuś dostęp wyłącznie z sieci zaufanych (reverse proxy, VPN, WAF), zablokuj bezpośredni dostęp do /OA_HTML/ oraz endpointów Configurator/UiServlet. (Wnioski na bazie opisów SSRF dla CVE-2025-61884).
  3. Monitoring i detekcja:
    • Szukaj anomalii HTTP do wewnętrznych hostów (wzorzec SSRF), nietypowych żądań POST/GET do portów usług zapleczowych EBS, oraz masowych odczytów/eksportów plików z serwera aplikacyjnego. (Wnioski z analizy GTI).
  4. IR i zawiadomienia: jeżeli masz dowody eksfiltracji – uruchom procedury incydentowe, ocenę DPIA i procesy notyfikacji zgodnie z RODO/GDPR. (Najlepsze praktyki zgodne z KEV/wytycznymi CISA).
  5. Hardening EBS: weryfikacja kont i dostępów integracyjnych, rotacja haseł/secretów, segmentacja sieciowa dla hostów EBS, przegląd reguł WAF pod SSRF/CRLF/XSL-injection. (Wnioski z GTI).

Różnice / porównania z innymi przypadkami

Kampania przypomina wcześniejsze „masowe wymuszenia po zero-day’u” znane z akcji Cl0p (MOVEit, Fortra), ale unikalny jest cel – system ERP Oracle EBS – oraz techniczny łańcuch obejmujący SSRF i elementy RCE. Atrybucja operacyjna wskazuje na FIN11, podczas gdy marka Cl0p służy jako „front” komunikacyjny w e-mailach do ofiar.

Podsumowanie / najważniejsze wnioski

  • Incydent Canon wpisuje się w szerszą, realnie trwającą kampanię na EBS; potwierdzone wykorzystywanie CVE-2025-61884 podnosi pilność wdrożenia poprawek.
  • Organizacje używające EBS powinny traktować eksponowane instancje jako potencjalnie naruszone i przeprowadzić threat hunting pod SSRF/RCE oraz weryfikację exfiltracji. (Wnioski na bazie GTI i KEV).
  • Patch, segmentacja, WAF i monitoring to minimum; długofalowo – ograniczenie dostępu EBS do stref zaufanych i regularna walidacja konfiguracji.

Źródła / bibliografia

  • SecurityWeek: Canon Says Subsidiary Impacted by Oracle EBS Hack (25 listopada 2025). (SecurityWeek)
  • Oracle Security Alert: CVE-2025-61884 (11 października 2025) + wpis na blogu CSO Oracle. (Oracle)
  • CISA KEV: wpis dla CVE-2025-61884 (20 października 2025). (cisa.gov)
  • Google Threat Intelligence: Oracle E-Business Suite zero-day exploitation (9 października 2025). (Google Cloud)
  • CrowdStrike: Campaign targeting Oracle EBS via zero-day (CVE-2025-61882) (6 października 2025). (crowdstrike.com)
Idź do oryginalnego materiału
  1. Strona główna
  2. Podatności i biuletyny
  3. Canon potwierdza incydent po kampanii ataków na Oracle E-Business Suite (EBS)