Miért veszélyes ez a rés?
Fontos hangsúlyozni, hogy a sérülékenységet kihasználó támadónak nincs szüksége sem felhasználónévre, sem jelszóra, elég, ha hálózaton keresztül eléri az Oracle E-Business Suite 12.2.3-tól 12.2.14-ig terjedő verzióit. A támadás során a támadó teljes kontrollt szerezhet a szerver felett, érzékeny üzleti adatokat lophat el, vagy rendszereket tehet működésképtelenné. Az Oracle sürgős javítást adott ki, amely azonban csak akkor telepíthető, ha a rendszergazda előbb feltelepíti a 2023. októberi kritikus frissítőcsomagot.
Clop zsarolótámadás: már itt van
Bár az Oracle hivatalosan nem ismerte el, a támadást már aktívan kihasználják: a hírhedt Clop zsarolóprogram-csoport augusztusban több cégnél is betört ezen keresztül, és jelentős mennyiségű adatot lopott el. A Mandiant és a Google Threat Intelligence Group jelentése szerint a Clop-banda célzottan keresi a sebezhető Oracle E-Business Suite szervereket, majd az ellopott adatok kiszivárogtatásával fenyegeti a cégeket váltságdíj fejében — egyes források szerint az összeg elérheti a 100 millió forintot.
A Clop évek óta nulladik napi hibákat használ tömeges adatlopási kampányaiban. 2020-tól kezdve több hullámban tört be ismert vállalatokhoz különböző szoftverhibák kihasználásával. 2023-ban például több mint 100 céget ért masszív támadás egy másik kritikus sérülékenység révén.
Hogyan zajlott a támadás?
Ezúttal nemcsak a Clop, hanem a Scattered Lapsus$ Hunters nevű csoport is szerepet játszott abban, hogy a sebezhetőség nyilvánosságra került. Két fájlt tettek közzé a Telegramon: az egyik a Clop nevével ellátott Oracle forráskód, a másik egy olyan archívum, amely közvetlenül a támadáshoz használt exploitot tartalmazza. Ezek között szerepelt két Python-script (exp.py, server.py) és egy readme.md fájl is, amely részletesen bemutatja, hogyan lehet kompromittálni Oracle szervereket.
Az Oracle által közzétett kompromittálódási jelek is ezt az exploit-csomagot azonosítják: két konkrét IP-címet, egy távoli shell megnyitásához használt parancsot, valamint a támadók által terjesztett exploit fájlokat. Ez bizonyítja, hogy a Clop valóban ilyen módon jutott be a vállalatok rendszereibe.
Kik a kulcsszereplők és mi várható?
A Scattered Lapsus$ Hunters tagjai az interneten azt állítják, hogy a Scattered Spider, Lapsus$ és ShinyHunters csoportokból verbuválódtak. Bár kérdéses, hogy pontosan hogyan jutottak az exploit birtokába — és hogy együttműködnek-e a Clop csoporttal —, az biztos, hogy jelenleg minden nagyobb cégnek azonnal frissítenie kell az Oracle E-Business Suite rendszereit, mert a fenyegetés valós, és az exploit már széles körben elérhető.
Mit lehet tenni?
Az Oracle részletesen közzétette azokat a fájlokat, IP-címeket és parancsokat, amelyek a jelenlegi támadásokhoz köthetők, ezzel segítve a rendszergazdákat a detektálásban. Összességében elmondható, hogy aki nem frissít azonnal, komoly kockázatot vállal: a Clop és más csoportok rendszeresen visszaélnek ezekkel a sérülékenységekkel, és a jövőben további hasonló támadások várhatók.
