Oracle reveló inicialmente la vulnerabilidad a principios de este mes, pero no proporcionó ningún detalle sobre sus exploits.
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha confirmado que una vulnerabilidad que afecta a los clientes de Oracle E-Business Suite se ha utilizado en ataques de ransomware.
La vulnerabilidad, registrada como CVE-2025-61884, es independiente de una falla recientemente vinculada a una campaña generalizada de extorsión de datos dirigida a clientes de E-Business Suite.
(Relacionado: Google dice que la campaña de extorsión de Oracle EBS probablemente estuvo dirigida a miles de personas y puede remontarse a julio)
En un anuncio del lunes, CISA agregó CVE-2025-61884 a su catálogo de vulnerabilidades que se sabe han sido explotadas por atacantes.
Oracle reveló inicialmente la vulnerabilidad el 11 de octubre, pero no proporcionó ningún detalle sobre su uso. CRN se comunicó con Oracle para solicitar comentarios.
En una entrada de falla en el Catálogo de vulnerabilidades, CISA confirmó que se sabe que la vulnerabilidad de falsificación de solicitud del servidor que afecta a E-Business Suite se ha utilizado en campañas de ransomware.
“Este tipo de vulnerabilidades son vectores de ataque frecuentes para actores cibernéticos maliciosos y plantean riesgos significativos para la empresa federal”, escribió CISA en su aviso, exigiendo a las agencias federales que implementen soluciones antes del 10 de noviembre.
Si bien la orden sólo se aplica a las agencias ejecutivas civiles federales, CISA “alienta encarecidamente a todas las organizaciones a reducir su vulnerabilidad a los ataques cibernéticos dando prioridad a la remediación oportuna de (tales) vulnerabilidades como parte de sus prácticas de gestión de vulnerabilidades”, dijo la agencia.
La falla recibió una calificación de gravedad de 7,5 sobre 10,0, lo que la convierte en un problema de alta gravedad.
“Esta vulnerabilidad puede explotarse de forma remota sin autenticación, lo que significa que puede explotarse a través de una red sin nombre de usuario ni contraseña”, escribió Oracle en su aviso del 11 de octubre. “Si se explota con éxito, esta vulnerabilidad podría permitir el acceso a recursos confidenciales”.
Oracle dijo que hay correcciones disponibles para las versiones afectadas de E-Business Suite (versiones 12.2.3-12.2.14).
Según un informe de BleepingComputer, se cree que la vulnerabilidad se utilizó en una campaña de ciberataque en julio.
Según BleepingComputer, en agosto comenzó una campaña generalizada de extorsión de datos dirigida a los clientes de Oracle E-Business Suite. Estos ataques utilizaron una vulnerabilidad crítica en E-Business Suite rastreada como CVE-2025-61882.
Los investigadores de Mandiant, propiedad de Google Cloud, y Google Threat Intelligence Group han vinculado esta campaña de robo de datos con varias organizaciones del grupo cibercriminal Clop.
