Cox Enterprises ujawnia naruszenie danych po włamaniu przez zero-day w Oracle E-Business Suite

Wprowadzenie do problemu / definicja luki

Cox Enterprises poinformowało o naruszeniu danych po włamaniu do środowiska wykorzystywanego do back-office, do którego doszło wskutek wykorzystania zero-day w Oracle E-Business Suite (EBS). Intruz działał w dniach 9–14 sierpnia 2025 r., a incydent wykryto 29 września 2025 r.. Firma przekazała powiadomienia 9 479 osobom i zaoferowała 12-miesięczny monitoring tożsamości (IDX). W próbce powiadomienia nie wskazano kategorii danych – trwa weryfikacja zakresu wycieku.

W skrócie

• Wektor: masowa kampania wymierzona w Oracle EBS, przypisywana klastrze FIN11, sygnowana marką Cl0p.
• Luka: CVE-2025-61882 (EBS Oracle Concurrent Processing / BI Publisher Integration) – RCE bez uwierzytelnienia przez HTTP, CVSS 9.8; dodatkowo CVE-2025-61884 (drugi błąd EBS) załatany 11 października.
• Czas: pierwsze nadużycia od 9 sierpnia 2025 r.; patch dla 61882 opublikowany 4–6 października 2025 r..
• Status: Cl0p opublikował na DLS dane części ofiar; Cox znalazł się na liście 27 października.

Kontekst / historia / powiązania

Kampania wobec Oracle EBS wpisuje się w schemat działań Cl0p/FIN11: masowe wykorzystanie 0-day w popularnych systemach, eksfiltracja i następcza ekstorsja (Accellion FTA 2020, GoAnywhere/MOVEit 2023, Cleo 2024). W bieżącej fali na portalu Cl0p pojawiło się blisko 30 domniemanych ofiar, m.in. Logitech, The Washington Post czy Harvard. Część organizacji potwierdziła incydenty, część przez cały czas bada sprawę.

Analiza techniczna / szczegóły luki

CVE-2025-61882 dotyczy komponentu Oracle Concurrent Processing – BI Publisher Integration i umożliwia zdalne wykonanie kodu bez uwierzytelnienia (HTTP). Dotknięte wersje: 12.2.3–12.2.14. Oracle udostępnił poprawki w trybie „Security Alert” i opublikował IOC (IP, polecenia, hashe).

Z obserwacji CrowdStrike i Mandiant/GTIG wynika, iż łańcuch ataku obejmował:

1. żądania do /OA_HTML/SyncServlet (obejście autoryzacji),
2. upload i wykonanie złośliwego szablonu XSLT przez /OA_HTML/RF.jsp oraz TemplatePreviewPG (BI Publisher),
3. zestawienie połączenia wychodzącego (port 443) i załadowanie web-shella (np. Log4jConfigQpgsubFilter),
4. utrwalenie i dalszą eksfiltrację danych (implanty Java: GOLDVEIN/SAGEWAVE/SAGELEAF/SAGEGIFT).

CVE-2025-61884 to drugi, niezależny błąd EBS łatany 11 października, również możliwy do wykorzystania bez uwierzytelnienia; stanowił element przerwania łańcucha eksploatacji.

Praktyczne konsekwencje / ryzyko

• Ryzyko RCE na bramie aplikacyjnej EBS bez interakcji użytkownika → pełne przejęcie aplikacji i dostęp do danych ERP.
• Eksfiltracja i ekstorsja: atakujący kontaktują się z kadrą kierowniczą z kont przejętych infostealerami, przedstawiają listingi plików jako „dowód” i żądają okupu.
• Ryzyko łańcucha dostaw: wiele spółek-córek i kontrahentów korzysta z EBS; wyciek metadanych finansowo-logistycznych może eskalować do nadużyć płatniczych i BEC. (Wniosek na podstawie potwierdzonych ofiar i charakteru EBS).

Rekomendacje operacyjne / co zrobić teraz

1. Natychmiast załataj EBS: zastosuj Security Alert dla CVE-2025-61882 (wymaga CPU 10.2023) oraz poprawki dla CVE-2025-61884; potwierdź wersje 12.2.3–12.2.14.
2. Hunting w bazie EBS (XDO): przejrzyj tabele XDO_TEMPLATES_B, XDO_LOBS pod kątem świeżych wpisów/TemplateCode zaczynających się od TMP/DEF; sprawdź ścieżki wywołań TemplatePreviewPG.
3. Artefakty sieciowe i procesowe: przeszukaj logi pod żądania do /OA_HTML/SyncServlet, /OA_HTML/OA.jsp, /help/state/.../iHelp/; zweryfikuj połączenia wychodzące z procesu serwera Java do znanych IOC.
4. Konta i sesje: skontroluj nietypowe sesje w icx_sessions (np. UserID 0 / 6), wymuś rotację haseł i sesji.
5. Ekspozycja: tymczasowo odetnij EBS od Internetu lub zastosuj WAF z regułami ograniczającymi wskazane endpointy, dopóki nie zakończysz triage.
6. IR & notyfikacje: jeżeli wykryjesz eksfiltrację – przygotuj dowody pod wymogi notyfikacyjne (np. liczba osób, kategorie danych), jak w przypadku Cox (9 479 powiadomień, typ danych nieustalony).

Różnice / porównania z innymi przypadkami

W odróżnieniu od kampanii Cl0p z lat 2020–2024 (FTA/GoAnywhere/MOVEit/Cleo), obecna fala uderza w system ERP, a nie platformy MFT. Daje to głębszy wgląd w procesy biznesowe (zamówienia, faktury, łańcuch dostaw), a nie wyłącznie w pliki transferowane doraźnie. To tłumaczy dłuższe „okno” eksfiltracji przed wysyłką e-maili szantażowych i potencjalnie większy wpływ na operacje.

Podsumowanie / najważniejsze wnioski

• Atak na Cox Enterprises to element szerokiej kampanii przeciw klientom Oracle EBS, w której zero-day CVE-2025-61882 był aktywnie wykorzystywany przed publikacją poprawek; drugi błąd CVE-2025-61884 domyka łańcuch.
• Organizacje powinny traktować EBS jak krytyczny system brzegowy: patchować natychmiast, aktywnie polować na XSLT/web-shelle, przejrzeć ruch wychodzący i dzienniki aplikacyjne.
• Brak jasności co do typów danych u Cox pokazuje, iż szybkie IR + forensyka są najważniejsze dla ograniczenia szkód i adekwatnych notyfikacji.

Źródła / bibliografia

• BleepingComputer: „Cox Enterprises discloses Oracle E-Business Suite data breach” (22 listopada 2025). (BleepingComputer)
• Oracle: „Security Alert Advisory – CVE-2025-61882 (E-Business Suite)” – opis RCE, wersje 12.2.3–12.2.14, IOC. (Oracle)
• Google Threat Intelligence & Mandiant: „Oracle E-Business Suite Zero-Day Exploited in Widespread Extortion Campaign” – oś czasu, TTP, zapytania XDO, IOC. (Google Cloud)
• CrowdStrike: „Campaign targeting Oracle E-Business Suite via zero-day (CVE-2025-61882)” – szczegóły łańcucha, endpointy, web-shelle. (CrowdStrike)
• SecurityWeek: „Nearly 30 Alleged Victims of Oracle EBS Hack Named on Cl0p Site” – skala ofiar i kontekst. (SecurityWeek)