USA: Daten von Dutzenden Unternehmen wurden aufgrund der Sicherheitslücke von Oracle gestohlen

Die Cybersicherheitsexperten von Google haben gerade vor einer groß angelegten Angriffskampagne der Hackergruppe Clop gewarnt, die auf die Software Oracle E-Business Suite abzielt und zum Diebstahl von Daten aus Dutzenden von Organisationen führt.

Dies gilt als erstes Anzeichen dafür, dass sich die Kampagne weltweit ausweiten könnte.

Laut Google hat die Clop-Gruppe eine schwerwiegende Sicherheitslücke (Zero-Day) in der Oracle E-Business Suite ausgenutzt, einer Business-Softwareplattform zur Verwaltung von Kundendaten, Finanzen und Personalwesen.

Oracle war gezwungen, einen Notfall-Patch zu veröffentlichen, um den anhaltenden Exploit zu stoppen.

Diese Sicherheitslücke mit der Bezeichnung CVE-2025-61882 hat einen Schweregrad von 9,8/10 und ermöglicht Angreifern die Ausführung von Remotecode ohne Authentifizierung, indem sie einfach über das HTTP-Protokoll zugreifen.

Nach erfolgreicher Ausnutzung könnte der Hacker die vollständige Kontrolle über die gleichzeitige Verarbeitung des Oracle E-Business Suite-Systems erlangen.

Analysten zufolge begann die Angriffskampagne am 10. Juli 2025, drei Monate bevor die ersten Organisationen Anfang Oktober Anzeichen eines Eindringens entdeckten.

Führungskräfte mehrerer US-Unternehmen erhielten daraufhin Lösegeld-E-Mails, in denen Hacker behaupteten, im Besitz vertraulicher Datendateien zu sein, die aus ihren Systemen gestohlen worden waren.

Laut Google war die Clop-Gruppe der Hauptdrahtzieher der Kampagne, die hinter einer Reihe groß angelegter Ransomware-Angriffe steckte, bei denen Zero-Day-Schwachstellen in Dateiübertragungstools wie MOVEit, Cleo und GoAnywhere ausgenutzt wurden.

Mehrere technische Indikatoren deuten außerdem auf eine Verbindung zwischen dieser Kampagne und der FIN11-Gruppe, einem finanziell motivierten Cybercrime-Syndikat, sowie Scattered Lapsus$ Hunters hin.

Charles Carmakal, CTO von Mandiant-Google Cloud, bestätigte, dass die Lösegeld-E-Mails von Hunderten kompromittierten E-Mail-Konten gesendet wurden, darunter mindestens ein Konto, das zuvor mit FIN11-Aktivitäten in Verbindung gebracht wurde.

Zunächst veröffentlichte Rob Duhart, Chief Security Officer von Oracle, eine Mitteilung, in der er behauptete, die Sicherheitslücken seien im Juli behoben worden, was implizierte, dass die Angriffe beendet seien. Die Mitteilung wurde jedoch später entfernt.

Nur wenige Tage später musste Oracle zugeben, dass Hacker seine Software weiterhin zum Diebstahl persönlicher Daten und Unternehmensdokumente ausnutzten. Oracle veröffentlichte umgehend einen neuen Notfall-Patch, der die Existenz der Zero-Day-Sicherheitslücke bestätigte.

Google hat E-Mail-Adressen, Indikatoren für eine Kompromittierung (IoCs) und technische Anleitungen veröffentlicht, um Cybersicherheitsexperten dabei zu helfen, zu überprüfen, ob ihre Oracle-Systeme kompromittiert wurden.

Oracle besteht darauf, dass die Zahlungsdaten der Kunden nicht betroffen seien, Experten warnen jedoch, dass möglicherweise Personaldaten und Betriebsinformationen durchgesickert seien.

Sicherheitsexperten empfehlen Unternehmen, umgehend den neuesten Patch der Oracle E-Business Suite zu aktualisieren, HTTP-Zugriffsprotokolle und ungewöhnliche Aktivitäten im Zusammenhang mit der gleichzeitigen Verarbeitung zu überwachen und bei Verdacht auf einen Einbruch eine forensische Prüfung durchzuführen.

Diese Angriffskampagne zeigt einmal mehr das wachsende Risiko, das von Zero-Day-Schwachstellen in Unternehmenssoftware ausgeht, und unterstreicht die Notwendigkeit schneller Patches und proaktiver Überwachung im Kontext der immer ausgefeilteren Cyberkriminalität./.

Quelle: https://www.vietnamplus.vn/my-hang-chuc-doanh-nghiep-bi-danh-cap-du-lieu-do-lo-hong-cua-oracle-post1069449.vnp