Oracle linkt afpersingsaanvallen Clop aan kwetsbaarheden in E-Business Suite

Oracle heeft bevestigd dat de aanhoudende afpersingscampagne, geclaimd door de beruchte Clop ransomwarebende, waarschijnlijk misbruik maakt van beveiligingsfouten in de E-Business Suite (EBS) waarvoor in juli 2025 al patches zijn uitgebracht. Dit meldt Bleepingcomputer.

Hoewel Oracle de aanval nog niet officieel aan Clop toeschrijft, heeft Rob Duhart, de Chief Security Officer van het bedrijf, erkend dat klanten afpersingsmails van de groep hebben ontvangen. Hij dringt er bij alle Oracle-klanten op aan om hun software onverwijld bij te werken.

Oracles interne onderzoek wijst op het mogelijke gebruik van kwetsbaarheden die zijn aangepakt in de Critical Patch Update van juli. In deze update werden negen beveiligingsfouten in de EBS opgelost. Drie daarvan, bekend onder de nummers CVE-2025-30745, CVE-2025-30746 en CVE-2025-50107, waren bijzonder ernstig omdat ze op afstand misbruikt konden worden zonder dat daarvoor geldige gebruikersreferenties nodig waren. Dit maakt ze een primair doelwit voor aanvallers.

Bug

Ondertussen melden beveiligingsfirma's Mandiant en Google dat leidinggevenden van diverse bedrijven e-mails hebben ontvangen waarin losgeld wordt geëist. De aanvallers beweren gevoelige gegevens te hebben gestolen uit de Oracle EBS-systemen en dreigen deze online te lekken. De afpersingsmails zijn eind september 2025 verstuurd.

De Clop-groep, die bekendstaat om het uitbuiten van zeroday-kwetsbaarheden in bestandsoverdrachtsoftware zoals MOVEit Transfer en GoAnywhere MFT, heeft haar betrokkenheid geclaimd en beweert dat zij slechts "een bug in een Oracle-product" hebben aangetoond. Experts stellen echter dat er onvoldoende bewijs is om te bevestigen dat de data daadwerkelijk gestolen is.

Oracle raadt alle klanten dringend aan de juli-patch onmiddellijk te installeren en indien nodig contact op te nemen met het supportteam. Dit is een essentiële stap om zich te beschermen tegen verdere uitbuiting door Clop.