Por Mid 
Oracle insta a aplicar un urgente parche para una crítica vulnerabilidad zero-day RCE explotada por Clop (CVE-2025-61882)
Tiempo estimado de lectura: 4 minutos
Dificultad técnica: Alta
Conclusiones clave
- La vulnerabilidad CVE-2025-61882 afecta a Oracle E-Business Suite con un CVSS de 9.8.
- Aprovechada por el grupo Clop para ejecución remota de código sin autenticación.
- Impacta al componente BI Publisher Integration y versiones desde 12.2.3 hasta 12.2.14.
- Publicación de PoCs y exploits aumenta el riesgo de ataques masivos.
- Parche de emergencia lanzado debe aplicarse de inmediato.
Índice
Impacto de la vulnerabilidad
La vulnerabilidad CVE-2025-61882 afecta a Oracle E-Business Suite y cuenta con un puntaje CVSS de 9.8, está siendo activamente utilizada por el grupo de ciberdelincuentes Clop para llevar a cabo ejecución remota de código y sustracción de datos. Oracle ha emitido una alerta de extrema urgencia, instando a los usuarios a implementar un parche después de la detección de Pruebas de Concepto (PoC) disponibles públicamente y ataques en curso.
Se ha confirmado que esta vulnerabilidad zero-day en E-Business Suite posibilita la ejecución de código sin necesidad de autenticación, lo que abre las puertas a los atacantes para sustraer información sensible. Esto ha sido evidenciado por una reciente oleada de ataques atribuidos a Clop, un grupo de ransomware notorios en el espacio cibernético.
Metodología de explotación
Específicamente, la vulnerabilidad impacta al componente BI Publisher Integration dentro de Oracle Concurrent Processing y permite la ejecución remota de código sin autenticación. Las versiones afectadas comprenden desde 12.2.3 hasta 12.2.14 de Oracle E-Business Suite. La explotación de esta falla es particularmente sencilla, dado que carece de controles adecuados, y ya han emergido exploits y PoCs públicos, en muchos casos desarrollados en Python y divulgados por grupos como Scattered Lapsus$ Hunters. Estos exploits permiten a los atacantes ejecutar comandos arbitrarios y establecer conexiones reversas hacia servidores bajo su control.
Acciones recomendadas
La gravedad del impacto es alta; la facilidad de explotación junto con la proliferación de PoCs públicos aumenta significativamente el riesgo de ataques masivos. Diversas organizaciones a nivel mundial han reportado incidentes en los que han sufrido robos de datos y extorsiones, recibiendo amenazas de hacer públicas informaciones sensibles si no se cumple con el pago de un rescate. La situación tiene el potencial de empeorar si otros grupos maliciosos deciden adoptar este exploit en nuevos ataques.
Oracle ha lanzado un parche de emergencia que debe ser aplicado tras la instalación de la Actualización Crítica de Parche en octubre de 2023. Es fundamental proceder a la actualización de inmediato y realizar una revisión de los indicadores de compromiso (IPs, comandos y archivos de exploit) proporcionados por Oracle. Se aconseja también auditar el acceso a la red de estos sistemas y reforzar la vigilancia proactiva de registros y alertas en entornos susceptibles.
La explotación activa de CVE-2025-61882 subraya la importancia de mantener un manejo ágil de parches y una vigilancia continua del entorno. La actualización de sistemas, el seguimiento de los Indicadores de Compromiso (IOC) y la promoción de la colaboración entre los equipos de defensa son fundamentales para enfrentarse a amenazas como Clop, que buscan explotar vulnerabilidades críticas en el ámbito empresarial.