Erpressungsversuche laufen Notfall-Patches für Oracle E-Business Suite

Die Hackergruppe „Cl0p“ hat monatelang unbemerkt Oracle-Systeme angegriffen. Experten warnen vor massiver Ausnutzung der Zero-Day-Schwachstelle CVE-2025-61882 und raten, betroffene Systeme sofort zu stoppen und zu patchen.

In einer groß angelegten Angriffskampagne haben Akteure der Hackergruppe „Cl0p“ über mehrere Monate hinweg unbemerkt Oracle-Systeme kompromittiert. Dies fanden die Sicher­heitsforscher der Google Threat Intellgence Group (GTIG) heraus. Die ersten Exploit-Versuche hätten womöglich bereits am 10. Juli 2025 begonnen – fast drei Monate bevor die Sicherheits­lücke entdeckt wurde, durch die Cl0p auf die Systeme ihrer Opfer zugreifen konnte. Betroffen sind Unternehmen, die die E-Business Suite von Oracle in den Versionen 2.2.3 bis 12.2.14 verwenden.

Oracle Patchday Juli 2025

309 Sicherheitslücken beim Oracle-Patchday

Zero-Day-Schwachstelle als Einfallstor in E-Business Suite

GTIG vermutet, dass die Cyberangreifer über die Schwachstelle CVE-2025-61882 (CVSS-Score 9.8) gezielt Oracle-Kunden angegriffen haben, die die E-Business Suite nutzen. Vermutlich haben die Akteure für den Zugriff sogar mehrere Schwachstellen miteinander verknüpft und auch an einer Sicherheitslücke angesetzt, die Oracle schon im Juli diesen Jahres gepatcht habe. So konnten sie ohne Authentifzierung Remote Code laden und große Mengen an Kundendaten stehlen.

Um die dateibasierte Erkennung ihrer Aktivitäten zu verhindern, hätten die Angreifer die hoch­entwickelten und dateilosen Malware-Varianten „Goldvein.Java“, „Sagegift“, „Sageleaf“ und „Sage­wave“ verwendet. Den Forschern zufolge deutet der hohe Aufwand, den die Akteure für die Verschleierung betrieben haben, darauf hin, dass sie für ihre Angriffe vorab umfangreich über ihre Opfer und deren Infrastrukturen recherchiert haben.

Einige Oracle-Kunden hätten Erpressungsnachrichten per E-Mail erhalten. Von Cl0ps An­griffs­kampagne könnten Google zufolge Tausende Unternehmen betroffen sein. Sogar das FBI warn­te vor der Zero-Day-Schwachstelle bei Oracle und rief dazu auf, sofort zu patchen. Brett Leather­mann, FBI Assistant Director, spricht von einer „Stopp-und-Patch-Lösung“. Das bedeutet, dass Unternehmen, die die E-Business Suite von Oracle einsetzen, die betroffenen Systeme sofort anhalten sollten („stopp“) und das Sicherheitsupdate aufspielen („patch“) sollten.

Update-Packs für veraltete Systeme

Sicherheitsrisiken beim Weiterbetrieb von Windows 7

Patches und IoC

In einem sehr kurzen Statement von Rob Duhart, Oracles Chief Security Officer, die der Her­steller Anfang Oktober zu dem Vorfall veröffentlichte, wurde auf das Security Adivsory zu CVE-2025-61882 verwiesen. Oracle rief seine Kunden dazu auf, schnellstmöglich den Notfall-Patch auf die betroffenen Versionen 2.2.3 bis 12.2.14 aufzuspielen. Die Voraussetzung für den Patch ist jedoch, zuerst das Critical Patch Update aus Oktober 2023 umgesetzt zu haben. Normalerweise veröffentlicht Oracle alle Sicherheitsupdates bei seinem Patchday vier Mal im Jahr.

Kurz nachdem die Zero-Day-Schwachstelle geschlossen wurde, entdeckte Oracle eine weitere Sicherheitslücke in der E-Business Suite: CVE-2025-61884 (CVSS-Score 7.5). Konkret betroffen ist die Runtime UI des Oracle-Configurators in den Versionen 12.2.3 bis 2.2.14 der Suite. Nicht authentifzierte Angreifer mit Netzwerkzugriff über HTTP können den Configurator kom­pro­mittieren und Zugriff auf sensible Daten erlangen. Auch hierzu liefert Oracle einen Patch.

Als Indicator of Compromise (IoC) für CVE-2025-61882 nennt Oracle folgende:

Termine 2025

Wann ist Oracle Patchday 2025?

(ID:50586313)