Inicio

RCE de Día Cero en Oracle E-Business Suite

Recursos afectados:

Los recursos afectados incluyen todas las versiones de Oracle E-Business Suite (EBS) desde la 12.2.3 hasta la 12.2.14, con la vulnerabilidad ubicada específicamente en el componente BI Publisher Integration del módulo Concurrent Processing. La explotación exitosa, que tiene un impacto crítico, resulta en la toma de control total del servidor host del EBS, la exfiltración de datos sensibles del ERP y la potencial implementación de ransomware por parte del atacante.

Detalle:

Esta alerta cubre la explotación masiva y activa de una vulnerabilidad de Ejecución Remota de Código (RCE) clasificada como CRÍTICA (CVSS 9.8) en Oracle E-Business Suite (EBS), rastreada como CVE-2025-61882.

La falla fue explotada como una vulnerabilidad de día cero (zero-day) en el medio silvestre, y se ha confirmado que las actividades de extorsión y robo de datos están vinculadas al notorio grupo de ransomware Cl0p. La explotación es de tipo pre-autenticación, lo que significa que un atacante puede ejecutar código sin necesidad de credenciales válidas.

Descripción:

La vulnerabilidad reside en el componente de integración BI Publisher del módulo Concurrent Processing de EBS. Los atacantes utilizan una cadena de exploit compleja que incluye un vector de Server-Side Request Forgery (SSRF), inyecciones de código (como inyección XSLT) y bypass de autenticación para obtener la ejecución de código. El código de exploit ha sido filtrado públicamente, lo que aumenta el riesgo de que otros grupos de amenazas repliquen el ataque.

Solución:

Oracle publicó un parche de seguridad de emergencia (out-of-band) para abordar esta vulnerabilidad. Las acciones prioritarias son:

  1. Aplicación de Parches: Instalar inmediatamente el parche de seguridad para CVE-2025-61882 proporcionado por Oracle.

  2. Prerrequisito: Asegurarse de que el Critical Patch Update de octubre de 2023 esté aplicado antes de instalar las actualizaciones de esta vulnerabilidad.

  3. Monitoreo y Detección: Implementar medidas de caza de amenazas (threat hunting) en las instancias de EBS accesibles por Internet para buscar indicadores de compromiso (IOCs), como conexiones salientes inusuales.

  4. Control de Acceso: Limitar y restringir el acceso a los componentes administrativos de Oracle EBS.

 

Preguntada on 19/11/2025 en N1-CRITICA.
Agregar Comentario
Cancel
0 Respuesta(s)

Tu Respuesta

Al publicar tu respuesta, confirmas estar de acuerdo con las políticas de privacidad y términos de servicio.