Zum Inhalt springen
Sie sind hier:

Oracle E-Business Suite: Kritische 0-Day-Schwachstelle

Beobachtungen

Das UK National Cyber Security Centre (NCSC) warnt vor aktiven Angriffen auf eine kritische 0-Day-Schwachstelle (CVE-2025-61882) in der Oracle E-Business Suite (EBS). Betroffen sind die Versionen 12.2.3 bis 12.2.14.
Die Schwachstelle liegt in der Komponente BI Publisher Integration (Oracle Concurrent Processing) und ermöglicht einem entfernten, nicht authentifizierten Angreifer, speziell präparierte HTTP-Anfragen zu senden und damit beliebigen Code auf dem Zielsystem auszuführen. Oracle bestätigt aktive Ausnutzung und stuft die Lücke mit CVSS v3.1 Basiswert 9.8 (Critical) ein.

Methoden

Angreifer können über das Netzwerk ohne Benutzerinteraktion Schadcode einschleusen und ausführen; dies führt potenziell zur vollständigen Kompromittierung des betroffenen Systems.
Oracle hat eine Reihe von Indicators of Compromise (IOCs) sowie typische Befehle und Hashwerte veröffentlicht, die bei Erkennung und Analyse unterstützen. Da solche IOCs jedoch nur eine begrenzte Haltbarkeit haben, verweisen wir auf das offizielle Oracle Security Advisory mit den jeweils aktuellen Informationen.

Attribution

Eine konkrete Tätergruppe wird bislang nicht benannt. Die bestätigte aktive Ausnutzung und die kritische Einstufung deuten jedoch darauf hin, dass verschiedene Bedrohungsakteure – einschließlich finanziell oder spionage-motivierter Gruppen – das Exploit bereits einsetzen.

Empfehlungen

  • Überprüfen Sie Ihre Oracle-EBS-Systeme auf mögliche Kompromittierung anhand der von Oracle publizierten IOCs.
  • Installieren Sie umgehend das von Oracle bereitgestellte Sicherheitsupdate. Voraussetzung ist die Einspielung des Critical Patch Update Oktober 2023.
  • Vermeiden Sie, dass Oracle EBS direkt aus dem Internet erreichbar ist. Nutzen Sie Netzwerksegmentierung, VPNs und Firewalls.
  • Setzen Sie auf kontinuierliche Überwachung und Threat Hunting, das nicht nur auf statischen IOCs basiert, sondern auch auffälliges Verhalten erkennt
  • Verdachtsfälle sollten an Oracle PSIRT sowie – je nach Zuständigkeit – an die zuständigen nationalen Sicherheitsbehörden gemeldet werden.