Хакеры Clop эксплуатировали уязвимость нулевого дня в ERP-системе Oracle для кражи данных топ-менеджеров

Как сообщил директор по безопасности Oracle Роб Духарт (Rob Duhart), брешь позволяла атакующим выполнять код удалённо без авторизации. Компания настоятельно рекомендовала клиентам немедленно установить патч.

По данным TechCrunch, уязвимость использовалась группировкой Clop для кражи персональных данных руководителей и вымогательства. Согласно сообщению Google Mandiant, атаки начались ещё в августе, вскоре после июльских обновлений Oracle, и переросли в кампанию массовой эксплуатации. Хакеры рассылали письма с угрозами опубликовать личную информацию и требовали выкуп.

Oracle опубликовала индикаторы компрометации (IP-адреса и файлы), помогающие выявить следы атак. Уязвимость получила оценку 9,8 по CVSS 3.1 и затронула версии 12.2.3–12.2.14 Oracle E-Business Suite.

Продолжение ниже

По словам Духарта, обновлённое уведомление заменяет раннюю версию, в которой говорилось, что рассылки с вымогательскими письмами завершены. Новая информация свидетельствует, что атаки продолжаются.