Tuần trước, các báo cáo về việc khách hàng Oracle bị xâm nhập đã xuất hiện. Nhóm tấn công bằng mã độc tống tiền (ransomware) khét tiếng Clop (Cl0p) đã gửi email tống tiền đến nhiều công ty, tuyên bố rằng dữ liệu nhạy cảm của họ đã bị đánh cắp khỏi E-Business Suite của công ty công nghệ Oracle.

Được biết, E-Business Suite là bộ ứng dụng kinh doanh tích hợp được sử dụng rộng rãi cho nhiều tác vụ, bao gồm lập kế hoạch nguồn lực, tài chính, quản lý chuỗi cung ứng, nhân sự và các tác vụ khác.

Vào ngày 04/10 vừa qua, Oracle đã phát hành các bản vá khẩn cấp và đưa ra khuyến cáo cảnh báo bảo mật, cảnh báo về một lỗ hổng tiềm ẩn đã bị phát hiện trong quá trình điều tra.

Lỗ hổng nghiêm trọng này được đặt tên là CVE-2025-61882, có điểm số nghiêm trọng cơ bản gần như tối đa là 9,8/10. Lỗ hổng nằm trong thành phần Tích hợp BI Publisher của sản phẩm Oracle Concurrent Processing.

"Một lỗ hổng dễ khai thác cho phép kẻ tấn công không xác thực truy cập mạng qua HTTP xâm nhập vào Oracle Concurrent Processing. Các cuộc tấn công thành công vào lỗ hổng này có thể dẫn đến việc chiếm quyền kiểm soát Oracle Concurrent Processing", mô tả trên Cơ sở dữ liệu Lỗ hổng quốc gia cho biết.

Kẻ tấn công không xác thực có thể khai thác lỗi bằng cách gửi các yêu cầu HTTP được thiết kế đặc biệt đến thành phần bị ảnh hưởng, dẫn đến xâm nhập toàn bộ hệ thống mà không cần tương tác của người dùng.

"Lỗ hổng này có thể bị khai thác qua mạng mà không cần tên người dùng và mật khẩu. Nếu bị khai thác thành công, lỗ hổng này có thể dẫn đến việc thực thi mã từ xa", Oracle thừa nhận trong khuyến cáo.

Trung tâm An ninh mạng Quốc gia Anh (NCSC) đã đưa ra cảnh báo khẩn cấp yêu cầu các tổ chức trong nước thực hiện hành động ngay lập tức để giảm thiểu lỗ hổng.

Tương tự, Văn phòng An ninh Thông tin Liên bang (BSI) tại Đức đã đưa ra cảnh báo đỏ về các cuộc tấn công từ xa.

Khai thác lỗ hổng zero-day hàng loạt

Tất cả các tổ chức sử dụng Oracle E-Business Suite (EBS) phiên bản 12.2.3 đến 12.2.14 đều bị ảnh hưởng. Các trường hợp tiếp xúc với Internet thậm chí còn tiềm ẩn rủi ro lớn hơn.

Oracle khuyến nghị khách hàng nên áp dụng các bản cập nhật được cung cấp bởi Cảnh báo Bảo mật này càng sớm càng tốt. Bản cập nhật bản vá quan trọng tháng 10/2023 là điều kiện tiên quyết.

Bản khuyến cáo đã bao gồm một số địa chỉ IP, mô tả về các payload độc hại được quan sát và các dấu hiệu xâm phạm khác.

Charles Carmakal, Giám đốc Công nghệ kiêm Cố vấn Hội đồng quản trị của Mandiant tại Google Cloud, đã cảnh báo về việc khai thác hàng loạt lỗ hổng trong một bài đăng trên LinkedIn.

"Với việc khai thác lỗ hổng zero-day hàng loạt đã xảy ra (và việc khai thác n-day có thể sẽ tiếp tục bởi các tác nhân khác), bất kể khi nào bản vá được áp dụng, các tổ chức nên kiểm tra xem họ đã bị xâm phạm hay chưa", chuyên gia khuyến nghị.

Cl0p - nhóm tấn công bị nghi ngờ, là một băng nhóm ransomware khét tiếng trước đây đã xâm nhập hàng trăm công ty bằng lỗ hổng zero-day MOVEit. Băng nhóm này cũng đe dọa sẽ công bố dữ liệu của 59 công ty bị ảnh hưởng bởi vụ xâm nhập nền tảng truyền tệp Cleo.

Băng nhóm này có khả năng đã khai thác một số lỗ hổng trong Oracle EBS vào tháng 8/2025, cho phép chúng đánh cắp một lượng lớn dữ liệu từ nhiều nạn nhân.

“Cl0p đã gửi email tống tiền đến một số nạn nhân kể từ thứ Hai tuần trước. Tuy nhiên, xin lưu ý rằng có thể chúng chưa liên lạc với tất cả nạn nhân”, Carmakal cảnh báo.

Hà Linh