Clop Eksploitasi Celah Zero-Day Oracle untuk Pencurian Data Sejak Awal Agustus
Kelompok ransomware Clop dilaporkan telah mengeksploitasi kerentanan zero-day kritis di Oracle E-Business Suite (EBS) sejak awal Agustus 2025, menurut laporan terbaru dari CrowdStrike.
Kerentanan tersebut dilacak sebagai CVE-2025-61882 dan baru ditambal oleh Oracle pada akhir pekan lalu. Bug ini ditemukan pada komponen BI Publisher Integration di modul Concurrent Processing, yang memungkinkan penyerang melakukan remote code execution (RCE) tanpa autentikasi dan tanpa interaksi pengguna.
💥 Eksploitasi Dimulai Sebelum Patch Dirilis
Peneliti keamanan dari watchTowr Labs menemukan bahwa eksploitasi ini merupakan rantai kerentanan (vulnerability chain) yang memungkinkan RCE melalui satu permintaan HTTP saja.
Eksploit ini diketahui berasal dari kode bukti konsep (PoC) yang bocor di internet pada Oktober 2025 oleh kelompok Scattered Lapsus$ Hunters, namun analisis metadata menunjukkan timestamp sejak Mei 2025 — artinya bug ini kemungkinan telah diketahui komunitas peretas jauh sebelum patch dirilis.
Menurut CrowdStrike:
“Kami menilai dengan tingkat keyakinan moderat bahwa grup GRACEFUL SPIDER (afiliator Clop) terlibat dalam kampanye ini, namun tidak menutup kemungkinan bahwa beberapa aktor ancaman lain juga memanfaatkan CVE-2025-61882. Eksploitasi pertama diketahui terjadi pada 9 Agustus 2025.”
🕵️♀️ Serangan Dikonfirmasi Menargetkan Data Sensitif
Investigasi menunjukkan Clop menggunakan kerentanan ini untuk mencuri dokumen internal dan data sensitif perusahaan besar.
Beberapa eksekutif dilaporkan menerima email pemerasan, di mana Clop mengancam akan membocorkan data dari sistem Oracle EBS jika tebusan tidak dibayarkan.
Contoh isi email pemerasan yang dikonfirmasi oleh Google Threat Intelligence Group (GTIG):
“Kami adalah tim CL0P. Kami telah menembus aplikasi Oracle E-Business Suite Anda dan menyalin sejumlah besar dokumen. Semua data pribadi dan file sensitif kini ada di sistem kami.”
🧩 Oracle Keluarkan Peringatan Darurat
Oracle mengonfirmasi bahwa eksploitasi ini berkaitan langsung dengan kerentanan CVE-2025-61882 dan mendesak semua pelanggan untuk segera memperbarui sistem mereka.
“Oracle sangat menyarankan pelanggan untuk segera menerapkan pembaruan keamanan ini. Selalu pastikan menggunakan versi yang masih didukung dan menerapkan semua Security Alerts serta Critical Patch Update tanpa penundaan,” tulis Oracle dalam peringatannya.
🔐 Riwayat Panjang Clop dalam Eksploitasi Zero-Day
Clop dikenal sebagai salah satu kelompok ransomware paling aktif yang mengandalkan eksploitasi zero-day dalam serangan pencurian data besar-besaran.
Beberapa kampanye sebelumnya meliputi:
- 2020: Accellion FTA zero-day
- 2021: SolarWinds Serv-U FTP
- 2023: GoAnywhere MFT & MOVEit Transfer (lebih dari 2.770 korban global)
- 2024: Dua celah zero-day di Cleo MFT (CVE-2024-50623 & CVE-2024-55956)
Sebagai tanggapan atas serangan Clop, Departemen Luar Negeri AS kini menawarkan hadiah hingga $10 juta bagi siapa pun yang dapat memberikan informasi yang menghubungkan operasi Clop dengan pemerintah asing.
⚠️ Rangkuman Singkat
| Aspek | Detail |
|---|---|
| Kerentanan | CVE-2025-61882 – Oracle EBS BI Publisher Integration |
| Jenis Serangan | Remote Code Execution tanpa autentikasi |
| Eksploitasi Dimulai | Awal Agustus 2025 |
| Grup Pelaku | Clop / GRACEFUL SPIDER |
| Dampak | Pencurian dokumen dan data sensitif perusahaan besar |
| Status Patch | Dirilis oleh Oracle pada 3 Oktober 2025 |
| Ancaman Lanjutan | Potensi eksploit baru oleh grup lain pasca publikasi PoC |
Sumber: CrowdStrike, Oracle, WatchTowr Labs, GTIG, BleepingComputer
