Post #4684

Диван на вынос Oracle EBS подверглась массовой атаке через zero-day уязвимость, позволяющей удалённо выполнять код без аутентификации. CrowdStrike связывает эксплуатацию с группой GRACEFUL SPIDER, которая, судя по всему, и есть печально известная CL0P. Письма с вымогательством рассылались от имени «CL0P team», что подтверждает эту связь. Кампания стартовала ещё 9 августа, но только в конце сентября злоумышленники начали массово рассылать письма руководителям компаний с требованиями выкупа. В письмах они открыто заявляли о краже конфиденциальных данных из систем Oracle E-Business Suite. Брешь позволяет обойти аутентификацию через POST запрос к /OA_HTML/SyncServlet, после чего хакеры загружают вредоносный XSLT-шаблон через XML Publisher. Далее разворачиваются веб-шеллы на Java для постоянного доступа к системе. Oracle выпустила экстренный патч 4 октября. До этого компании оставались беззащитными почти два месяца. НеКасперский