CrowdStrike відстежує кампанію масової експлуатації майже напевно, використовуючи нову вразливість нульового дня-тепер відстежується як CVE-2015-61882-націлювання на програму Oracle E-Business Suite (EBS) для цілей екзфілтрації даних.
CrowdStrike Intelligence з помірною впевненістю оцінює, що витончений павук, ймовірно, бере участь у цій кампанії, але не може виключити можливість того, що суб'єкти декількох загроз використовували CVE-2015-61882. Перша відома експлуатація відбулася 9 серпня 2025 року; Однак розслідування залишаються постійними, і ця дата може змінюватися.
Розвідка CrowdStrike додатково оцінює, що розкриття інформації про підтвердження концепції (POC) 3 жовтня та випуск патчів CVE-2015-61882 майже напевно заохочуватимуть суб'єктів загрози-особливо тих, хто знайомий з Oracle EBS-створювати озброєння POCS та намагатися використовувати їх проти Інтернет-опритулки до EBS.
Деталі
29 вересня 2025 року витончений павук надіслав електронною поштою декілька організацій і стверджував, що вони отримали доступ та екзфільтровані дані з додатків потерпілого Oracle EBS.
У 3 жовтня 2025 р. Пост в одному з телеграмських каналів, що не враховує співпрацю між розкиданим павуком, слизьким павуком та Шиніхунтери – Учасник каналу опублікував нібито експлуатацію Oracle EBS (SHA256 Hash: 76b6d36e04e367a2334c445b51e1ecce97e4c614e88dfb4f72b104ca0f31235d.). На своїй посаді член критикував тактику витонченого павука.
Як плакат отримав експлуатацію та чи цей актор чи будь -які інші суб'єкти, пов'язані з каналом, використовують цей подвиг, незрозуміло. Oracle опублікував цей POC як показник компромісу (МОК) у своєму розкритті CVE-2015-61882, що дозволяє припустити, що постачальник оцінює, що POC був або може бути використаний для експлуатації CVE-2015-61882. Поки аналіз триває, схоже, POC, що передбачається, узгоджується з принаймні деякою спостережуваною експлуатацією, включаючи використання активності Java Servlets для експлуатації.
Несанкціонована вразливість RCE (CVE-2015-61882)
4 жовтня 2025 року Oracle публічно розкрив CVE-2015-61882, вразливість, що впливає на Oracle EBS, що може призвести до несанкціостичного виконання віддаленого коду (RCE). У той час як консультації Oracle явно не стверджували, що ця вразливість була використана в дикій природі (ITW), Oracle надав МОК (наприклад, IP -адреси, спостережувані команди та файли), що пропонують експлуатацію ITW.1
CVE-2015-61882, як видається, узгоджується з принаймні деякими натовпами експлуатаційної діяльності.
Обхід автентифікації
Здається, що спостережувана активність починається з HTTP POST прохання до /OA_HTML/SyncServletякий ініціює частину автентифікації-біпаса багатоетапного ланцюга експлуатації. Принаймні один підтверджений випадок обхід автентифікації був пов'язаний з адміністративним обліковим записом в межах EBS.
Виконання коду
Для досягнення виконання коду, супротивника, цільового менеджера шаблонів видавця Oracle XML, шляхом видачі GET і POST Запити /OA_HTML/RF.jsp і /OA_HTML/OA.jsp Щоб завантажити та виконати шкідливий шаблон XSLT. Команди в шкідливому шаблоні виконуються під час перегляду шкідливого шаблону. Рисунок 1 Приклад документів GET і POST Запити, які використовуються для завантаження та попереднього перегляду шкідливого шаблону.
