CVE-2025-61882: Falha crítica Oracle sob ataque do Cl0p

Escrito por
Jardeson Márcio
Jardeson Márcio é Jornalista e Mestre em Tecnologia Agroalimentar pela Universidade Federal da Paraíba. Com 8 anos de experiência escrevendo no SempreUpdate, Jardeson é um especialista...

Aprenda sobre a falha crítica no Oracle E-Business Suite explorada pelo Cl0p e saiba como aplicar o patch de emergência para se proteger.

A Oracle emitiu um patch de segurança de emergência para corrigir uma vulnerabilidade crítica de execução remota de código (RCE) em seu amplamente utilizado Oracle E-Business Suite (EBS).

A falha, rastreada como CVE-2025-61882, possui pontuação CVSS 9.8, o que a coloca entre as mais graves já registradas. Ainda mais preocupante é o fato de que o grupo de ransomware Cl0p já está explorando ativamente essa brecha para roubo de dados corporativos.

Neste artigo, você entenderá por que essa vulnerabilidade é tão perigosa, como o ataque está sendo conduzido e quais medidas imediatas devem ser tomadas para proteger seus sistemas Oracle EBS contra comprometimentos.

Entendendo a gravidade da CVE-2025-61882

Imagem com a logomarca da Oracle

O que é a vulnerabilidade?

A CVE-2025-61882 afeta o componente Oracle Concurrent Processing dentro do E-Business Suite, uma ferramenta essencial para a execução de processos empresariais em larga escala.

Segundo a Oracle, a falha permite que um invasor não autenticado explore o sistema via HTTP, sem necessidade de login ou credenciais válidas. Isso significa que o ataque pode ser iniciado remotamente e com mínimo esforço técnico, o que multiplica o risco de exploração em massa.

Em termos práticos, essa vulnerabilidade permite a execução remota de código (RCE) — ou seja, o atacante pode assumir o controle completo do servidor vulnerável, instalar backdoors, roubar informações confidenciais ou até implantar ransomware.

CVSS 9.8: decodificando o risco máximo

A pontuação CVSS 9.8 indica o nível mais alto de severidade possível em uma escala que vai de 0 a 10.
Esse tipo de vulnerabilidade é classificado como “crítica”, pois combina três fatores letais:

  1. Exploração remota via rede pública;
  2. Ausência de autenticação;
  3. Impacto total sobre confidencialidade, integridade e disponibilidade.

Em resumo, a falha permite invasão total de sistemas corporativos se o patch não for aplicado imediatamente.

Cl0p em ação: roubo de dados em massa

Quem é o grupo Cl0p?

O Cl0p é um grupo de ransomware altamente sofisticado, conhecido por ataques de grande escala contra alvos corporativos e governamentais. O grupo ganhou notoriedade ao explorar falhas de dia zero em softwares amplamente utilizados, como o MOVEit Transfer, que resultou em vazamentos de dados de milhões de usuários em 2023.

A estratégia do Cl0p é clara: identificar rapidamente novas vulnerabilidades críticas, explorá-las antes que as organizações apliquem correções e extorquir vítimas mediante ameaças de divulgação pública de dados roubados.

A campanha contra o Oracle EBS

Pesquisadores da Mandiant (Google Cloud) confirmaram que o Cl0p está explorando a CVE-2025-61882 em campanhas ativas de roubo de dados.

O grupo utiliza uma combinação de falhas conhecidas e novas para obter acesso inicial e, em seguida, movimentar-se lateralmente dentro dos ambientes corporativos, exfiltrando dados sensíveis de clientes Oracle.

Essa ofensiva mostra como grupos avançados estão focando em softwares corporativos amplamente implantados, aproveitando a complexidade e o atraso na aplicação de patches por parte das empresas.

Indicadores de comprometimento (IoCs) e como identificar a ameaça

Fique atento a estes sinais

A Oracle e a Mandiant compartilharam uma série de Indicadores de Comprometimento (IoCs) associados à exploração da CVE-2025-61882. Administradores devem usar esses dados para verificar se seus sistemas já foram comprometidos.

Endereços IP suspeitos:

  • 200.107.207[.]26
  • 185.181.60[.]11

Comandos e artefatos maliciosos observados:

  • Execução de scripts remotos via HTTP sem autenticação.
  • Criação de arquivos temporários em diretórios de log do Oracle EBS.
  • Conexões anômalas de saída para IPs não reconhecidos.

Esses IoCs servem como guias para auditar logs de rede e servidores, ajudando a identificar potenciais acessos indevidos ou sinais de exploração ativa.

Ação imediata: o que fazer para proteger seus sistemas

Passo 1: Aplique o patch imediatamente

A Oracle recomenda a aplicação imediata do patch de segurança disponibilizado no Critical Patch Update (CPU) mais recente.
Adiar a instalação dessa atualização expõe a organização a risco de comprometimento total.

Empresas que utilizam versões antigas do E-Business Suite devem verificar se há atualizações específicas ou workarounds temporários.

Passo 2: Investigue por comprometimento retroativo

Mesmo após aplicar o patch, não presuma que está seguro.
De acordo com Charles Carmakal, CTO da Mandiant, é essencial que as organizações verifiquem se foram previamente comprometidas, já que o Cl0p tem histórico de explorar vulnerabilidades dias ou semanas antes das divulgações públicas.

Use os IoCs fornecidos para realizar uma varredura completa nos logs e sistemas internos, procurando sinais de acesso indevido, execução de comandos suspeitos ou exfiltração de dados.

Passo 3: Monitore continuamente

A ameaça não termina com o patch.
Implemente monitoramento contínuo de rede, configure alertas para conexões de saída anômalas e reforce políticas de autenticação e segmentação de rede.

Ferramentas de EDR (Endpoint Detection and Response) e SIEM (Security Information and Event Management) são fundamentais para detectar atividades maliciosas residuais e prevenir futuras explorações.

Conclusão: um lembrete sobre a importância da gestão de patches

A exploração da CVE-2025-61882 pelo grupo Cl0p é um alerta contundente sobre a urgência da gestão de patches e da vigilância constante em ambientes corporativos.

Softwares críticos, como o Oracle E-Business Suite, frequentemente estão no centro das operações empresariais — e, portanto, são alvos prioritários para cibercriminosos.

Não espere para agir.
Verifique imediatamente suas instâncias do EBS, aplique o patch disponibilizado pela Oracle e investigue qualquer indício de comprometimento.
A prevenção, neste caso, pode significar a diferença entre a continuidade dos negócios e uma violação catastrófica de dados.

Compartilhe este artigo
Follow:
Jardeson Márcio é Jornalista e Mestre em Tecnologia Agroalimentar pela Universidade Federal da Paraíba. Com 8 anos de experiência escrevendo no SempreUpdate, Jardeson é um especialista em Android, Apple, Cibersegurança e diversos outros temas do universo tecnológico. Seu foco é trazer análises aprofundadas, notícias e guias práticos sobre segurança digital, mobilidade, sistemas operacionais e as últimas inovações que moldam o cenário da tecnologia.