Una nueva vulnerabilidad de alto riesgo: CVE-2025-61884
Oracle publicó de forma urgente un parche de seguridad para una vulnerabilidad crítica en su plataforma E-Business Suite (EBS), identificada como CVE-2025-61884.
El fallo, ubicado en el componente Runtime UI, afecta las versiones 12.2.3 a 12.2.14 y puede ser explotado de manera remota y sin autenticación, lo que permitiría a atacantes acceder y extraer información sensible desde los sistemas vulnerables.
De acuerdo con Oracle, esta vulnerabilidad es explotable a través de red sin necesidad de credenciales, lo que eleva considerablemente su nivel de riesgo. La compañía recomendó aplicar de inmediato las actualizaciones o mitigaciones disponibles.
La falla posee un puntaje CVSS base de 7.5, reflejando un impacto significativo sobre la confidencialidad de los datos y la integridad del sistema.
Contexto reciente: relación con campañas de extorsión y explotación activa
El lanzamiento de este parche ocurre tan solo dos semanas después de una campaña de extorsión atribuida al grupo Clop, dirigida a ejecutivos de diversas organizaciones y vinculada con vulnerabilidades previas en Oracle EBS.
Una de ellas, CVE-2025-61882, fue explotada como zero-day desde inicios de agosto, según reportes de CrowdStrike, en ataques enfocados en el robo de información corporativa.
Por su parte, watchTowr Labs identificó que esta vulnerabilidad formaba parte de una cadena de fallos que permitían ejecución remota de código (RCE). Un proof-of-concept (PoC) correspondiente fue filtrado en mayo por el grupo Scattered Lapsus$ Hunters, conocido por divulgar herramientas y exploits reales en foros clandestinos.
El historial del grupo Clop y su impacto en el sector empresarial
El grupo Clop ha estado detrás de múltiples campañas de robo y extorsión de datos, aprovechando vulnerabilidades de día cero en soluciones ampliamente utilizadas, como Accellion FTA, GoAnywhere MFT, Cleo y MOVEit Transfer.
Estas operaciones afectaron a más de 2,700 organizaciones a nivel global, evidenciando la capacidad de Clop para identificar y explotar de forma coordinada vulnerabilidades críticas en entornos empresariales complejos.
Su modelo operativo combina la explotación técnica con la presión reputacional, al publicar parte de los datos sustraídos en sitios de filtración, reforzando la tendencia de doble extorsión que se ha consolidado en los últimos años dentro del ecosistema del ransomware.
Recomendaciones para equipos de seguridad y administradores
Aunque Oracle no ha confirmado que CVE-2025-61884 esté siendo explotada activamente, se ha observado un incremento en los intentos de intrusión dirigidos a instancias expuestas de EBS.
Por ello, se recomienda a las organizaciones implementar las siguientes medidas:
Aplicar de inmediato el parche correspondiente a CVE-2025-61884.
Revisar la exposición externa de instancias Oracle EBS y restringir el acceso desde internet.
Monitorear registros de actividad en el componente Runtime UI para identificar comportamientos anómalos.
Actualizar las firmas de detección en sistemas IDS/IPS y soluciones EDR.
Mantener respaldos cifrados y segmentados de las bases de datos EBS.
Seguir de cerca las actividades de grupos conocidos por explotar vulnerabilidades Oracle, como Clop y Scattered Lapsus$ Hunters.
Fortalecer los procesos internos de gestión de vulnerabilidades y aplicación de parches fuera de ciclo regular.
Conclusión
- La publicación de este parche refuerza la necesidad de mantener una gestión proactiva de vulnerabilidades en entornos críticos como Oracle EBS.
- La exposición pública de exploits y el historial de explotación previa por parte de grupos como Clop evidencian la rapidez con la que los atacantes pueden aprovechar una falla no corregida.
- Aplicar las actualizaciones de seguridad sin demora y fortalecer los controles de monitoreo son pasos esenciales para reducir el riesgo operativo y preservar la integridad de los sistemas empresariales.
