CVE-2025-61882: Cadena pre-auth RCE en Oracle E-Business Suite

El 4 de octubre de 2025, Oracle publicó una alerta de seguridad para la vulnerabilidad CVE-2025-61882, que permite ejecución remota sin autenticación en Oracle E-Business Suite (EBS) dentro del componente Oracle Concurrent Processing / BI Publisher Integration. 

Los aspectos clave:

  • Afecta versiones 12.2.3 a 12.2.14 de EBS. 
  • La explotación se hace vía HTTP (y por implicación HTTPS si se usa) sin requerir credenciales. La puntuación CVSS 3.1 asignada es 9.8 (Vector: AV:N / AC:L / PR:N / UI:N / S:U / C:H / I:H / A:H) 
  • Oracle advierte que la explotación puede resultar en “control de Oracle Concurrent Processing” (compromiso del subsistema). 

Lo interesante (y lo que le da a esta vulnerabilidad su complejidad) es que no parece tratarse de un solo bug simple, sino de una cadena de fallos menores (SSRF, parsing de XML/XSL, deserialización, manejo de “tiempo de ventana” en conexiones prolongadas) unidos para lograr RCE preautenticado. Así lo reconstruyen análisis de terceros (por ejemplo, watchTowr Labs):

  1. Vector de entrada HTTP pre-auth
    Un endpoint HTTP expuesto del módulo BI Publisher/Concurrent recibe una petición (GET/POST) que incluye una referencia a una plantilla/stylesheet externa. El servidor procede a resolver recursos referenciados. 

  2. Inclusión remota / SSRF-like
    El motor acepta xsl:include / xsl:import / document() con URIs HTTP, permitiendo al atacante servir un XSL malicioso desde un host controlado. El servidor descarga ese XSL y lo pasa al motor de transformación.

  3. Procesamiento XSLT con extensiones Java / gadgets
    El XSL malicioso contiene llamadas a extensiones Java o a clases “gadget” disponibles en el classpath del proceso. A través de esas llamadas se invocan métodos que permiten ejecución de código del sistema (por ejemplo invocaciones que terminan usando Runtime.exec o ProcessBuilder, o cadenas de deserialización inseguras). Esta fase explota la exposición de APIs de alto riesgo desde el motor de transformación.

  4. Necesidad de sincronización: keep-alive
    La cadena requiere mantener la conexión HTTP abierta (uso deliberado de Connection: keep-alive) para coordinar la descarga y ejecución del XSL; cierres prematuros de la sesión interrumpen la explotación. Esto indica dependencia del ciclo de vida de la sesión/stream HTTP. 

  5. Petición complementaria / activación
    En la explotación observada hay al menos una interacción adicional (POST o request de confirmación) que finaliza la activación del payload o desencadena un hook secundario en memoria. 

  6. Resultado: RCE y post-explotación
    Una vez ejecutado el comando, los atacantes despliegan callbacks (reverse shells), cargan binarios adicionales, exfiltran datos y/o instalan mecanismos de persistencia. Varias campañas han derivado en robo de información y extorsión. 

Indicadores de compromiso (IOCs) y tácticas observadas

Esta vulnerabilidad  (o encadenamiento de vulnerabilidades) fue explotada activamente en campañas de exfiltración y extorsión atribuidas al grupo Cl0p, lo que indica explotación in-the-wild antes del parche.

Oracle publicó algunos IOCs en su advisory para ayudar a detección y hunting inmediato. Aquí algunos de los más relevantes:

  • Direcciones IP de actividad GET/POST sospechosa: 200.107.207.26, 185.181.60.11 

  • Hashes SHA-256 de paquetes / scripts usados en el exploit:

    • 76b6d36e04e367a2334c445b51e1ecce97e4c614e88dfb4f72b104ca0f31235d → archivo oracle_ebs_nday_exploit_poc_scattered_lapsus_retard_cl0p_hunters.zip 
    • aa0d3859d6633b62bccfb69017d33a8979a3be1f3f0a5a4bf6960d6c73d41121exp.py en el exploit 
    • 6fd538e4a8e3493dda6f9fcdc96e814bdd14f3e2ef8aa46f0143bff34b882c1bserver.py del exploit 
  • Comando shell típico utilizado en payload: sh -c /bin/bash -i >& /dev/tcp// 0>&1
Fuentes:

Comentarios

Publicar un comentario