389/68 (IT) ประจำวันอังคารที่ 7 ตุลาคม 2568
Oracle เปิดเผยว่ากลุ่มแรนซัมแวร์ Cl0p อยู่เบื้องหลังการโจมตีและขโมยข้อมูลของลูกค้า Oracle E-Business Suite (EBS) โดยอาศัยช่องโหว่แบบ Zero-Day รหัส CVE-2025-61882 ซึ่งเป็นช่องโหว่ร้ายแรงระดับ Critical (CVSS 9.8) ผู้โจมตีใช้เพื่อรันโค้ดจากระยะไกลได้โดยไม่ต้องยืนยันตัวตน ช่องโหว่นี้ส่งผลกระทบต่อ Oracle EBS เวอร์ชัน 12.2.3 ถึง 12.2.14 ในส่วนของ BI Publishing Integration ภายใต้โมดูล Concurrent Processing
การโจมตีเริ่มต้นในเดือนสิงหาคม 2025 โดยกลุ่ม Cl0p ขโมยข้อมูลของลูกค้า EBS และเริ่มส่งอีเมลเรียกค่าไถ่ช่วงปลายเดือนกันยายน นักวิจัยจาก Google Threat Intelligence Group (GTIG) และ Mandiant พบอีเมลดังกล่าวถูกส่งจากบัญชีที่เคยถูกบุกรุกมาก่อน ซึ่งเชื่อมโยงกับกลุ่มอาชญากรไซเบอร์ FIN11 ก่อนถูกยืนยันภายหลังว่าผู้โจมตีคือกลุ่ม Cl0p จริง โดยลักษณะการโจมตีสอดคล้องกับแคมเปญก่อนหน้าของ Cl0p ที่เคยใช้ช่องโหว่ Zero-Day โจมตีผลิตภัณฑ์อย่าง MOVEit, Cleo และ Fortra
Oracle ได้ออกแพตช์เพื่ออุดช่องโหว่ CVE-2025-61882 พร้อมเผยแพร่ Indicators of Compromise (IoCs) เพื่อให้ลูกค้าตรวจสอบการบุกรุก ขณะที่ Mandiant ระบุว่าผู้โจมตีใช้ช่องโหว่ดังกล่าวร่วมกับช่องโหว่อื่นที่ถูกแพตช์ไปแล้วในเดือนกรกฎาคม นักวิจัยเตือนว่ากลุ่มอื่น ๆ อาจนำช่องโหว่นี้ไปใช้ในอนาคต โดย CTO ของ Mandiant แนะนำให้องค์กรตรวจสอบว่าถูกเจาะระบบไปแล้วหรือไม่ แม้จะติดตั้งแพตซ์แล้วก็ตาม นอกจากนี้ ยังพบความเป็นไปได้ที่กลุ่ม Scattered Spider และ ShinyHunters อาจมีส่วนเกี่ยวข้อง หลังมีการเผยแพร่โค้ดช่องโหว่ดังกล่าวในช่องทาง Telegram
แหล่งข่าว https://www.securityweek.com/oracle-e-business-suite-zero-day-exploited-in-cl0p-attacks/
