«Tenemos un zero‑day y ustedes no tienen parche»: Mazda, NHS y Harvard, víctimas de la negligencia de Oracle

El grupo Cl0p atacó a Oracle aprovechando una vulnerabilidad crítica de día cero (Zero Day) en el paquete de software E-Business Suite. Especialistas afirmam, que los ataques que explotan esta vulnerabilidad continúan desde julio de 2025 y ya han afectado a numerosas grandes organizaciones en todo el mundo.

La publicación sobre la compromisión de Oracle apareció en la dark web en la página de Cl0p el jueves. El grupo publicó solo información básica sobre la compañía —dirección, teléfono, sitio web, sector e ingresos anuales— y también la burla habitual: «La compañía no se preocupa por sus clientes. ¡Ignoró su seguridad!!!». Sin embargo, a las pocas horas el mensaje desapareció del sitio. Se presume que la desaparición podría indicar el inicio de negociaciones entre Cl0p y representantes de Oracle.

Publicación sobre la intrusión a Oracle en el sitio de Cl0p (@TriptySecCTI)

Sobre la intrusión informó públicamente el investigador Dominic Alvieri, citando una filtración cuya captura de pantalla fue tomada por un analista de Fujitsu UK. Confirmó que el ataque se realizó a través de la vulnerabilidad CVE-2025-61882, que permite ejecutar código remoto en E-Business Suite sin autenticación. Según datos de Google, Cl0p combinó varios fallos en una sola cadena de explotación para lograr acceso no autorizado a datos y sistemas.

Oracle confirmó la existencia del problema solo el 2 de octubre, cuando muchas empresas ya habían recibido cartas de extorsión de Cl0p. Según las víctimas, los mensajes empezaban con el saludo «Estimado director» y contenían la notificación de que se habían copiado documentos confidenciales del sistema EBS. Los atacantes tenían un conjunto completo de archivos corporativos que ofrecían «salvar» a cambio de un rescate. En las cartas, Cl0p insinuaba riesgos reputacionales, instando a no demorar el pago.

La situación se agravó por una primera actualización correctiva fallida de Oracle, que no solucionó completamente la vulnerabilidad. Solo seis días después apareció un parche funcional; sin embargo, para entonces muchos clientes ya habían sido comprometidos.

Entre las afectadas se encuentran organizaciones conocidas como el Servicio Nacional de Salud del Reino Unido (datos publicados), la aseguradora Humana, el fabricante de automóviles Mazda (incluida la filial estadounidense), la Universidad de Phoenix, Harvard University, la aerolínea Envoy Air, la proveedora DXC Technology y el sistema de escuelas públicas de Chicago —la cuarta más grande de EE. UU. El periódico The Washington Post también confirmó el incidente y notificó a miles de lectores sobre una posible filtración de datos personales.

Oracle E-Business Suite es un conjunto de aplicaciones empresariales ampliamente utilizado para gestionar clientes, suministros, logística, producción y contabilidad. Está desplegado en miles de empresas en todo el mundo, lo que lo convierte en un objetivo atractivo para los atacantes. Gracias a vulnerabilidades, incluida la CVE-2025-61882, Cl0p pudo lograr acceso RCE no autenticado y extraer datos valiosos directamente de los sistemas corporativos.

El grupo Cl0p hace tiempo que se ha consolidado como uno de los actores más activos en el mercado del chantaje. Son conocidos por campañas a gran escala con cadenas de múltiples vulnerabilidades. El año pasado Cl0p estuvo detrás del mayor incidente que usó MOVEit Transfer, que afectó a más de 2.600 organizaciones y a casi 90 millones de personas. Antes de eso explotaron fallos en Fortra GoAnywhere y Cleo.

Según expertos, Cl0p actúa de manera metódica y busca la máxima monetización de las intrusiones. Al mismo tiempo, el grupo provoca con gusto a sus víctimas: publica burlas, redacta entradas con mofa y exige dinero aprovechando los miedos reputacionales de las empresas. Y en el caso de Oracle, parece haber disfrutado particularmente al comprometer al proveedor a través de su propio producto.