أطلقت شركة أوراكل (Oracle) تحديثًا أمنيًا طارئًا لمعالجة ثغرة أمنية حرجة في حزمة E-Business Suite، بعد أن أكدت الشركة استغلالها في موجة هجمات إلكترونية نفّذتها مجموعة Cl0p المتخصصة في سرقة البيانات.
تحمل الثغرة الرقم CVE-2025-61882 وتبلغ خطورتها 9.8 على مقياس CVSS، وتتمثل في خلل غير محدد داخل مكوّن Oracle Concurrent Processing يسمح للمهاجم غير الموثق بالتحكم الكامل في النظام عبر بروتوكول HTTP.
وجاء في تنبيه أوراكل أن «الثغرة قابلة للاستغلال عن بُعد دون الحاجة إلى مصادقة، أي يمكن تنفيذها عبر الشبكة دون اسم مستخدم أو كلمة مرور، مما قد يؤدي إلى تنفيذ تعليمات برمجية عن بُعد في حال نجاح الهجوم».
تحديثات عاجلة لمواجهة استغلال متزايد
صرّح روب دوهارت، رئيس الأمن في أوراكل، أن الشركة أصدرت إصلاحات جديدة لمعالجة الثغرة بعد اكتشاف مؤشرات إضافية على محاولات استغلالها خلال التحقيقات الجارية. وأوضح أن التحديث العاجل يأتي «لحماية الأنظمة من موجة الاستغلال الجديدة التي تم رصدها مؤخرًا».
وتشير تقارير استخبارات التهديد إلى أن الاستغلال ارتبط على الأرجح بمجموعة Scattered LAPSUS$ Hunters، التي استخدمت حزم أدوات استغلال (CIS Build Kits) وأوامر اتصال شبكي مشبوهة مثل:
200.107.207[.]26 و185.181.60[.]11، إلى جانب سكربتات خبيثة حملت أسماء مثل:oracle_ebs_nday_exploit_poc_scattered_lapsus_retard_cl0p_hunters.zipexp.py وserver.py.
حملة واسعة تستهدف مؤسسات أوراكل
يأتي هذا الكشف بعد أيام من تقارير أفادت بأن مجموعة Cl0p شنت حملة جديدة استهدفت مستخدمي Oracle E-Business Suite، وُصفت بأنها «حملة بريد إلكتروني ضخمة» أُطلقت من مئات الحسابات المخترقة.
ووفقًا لتحليل شركة مانديانت (Mandiant) التابعة لـ«جوجل كلاود»، فإن الهجوم استهدف سرقة كميات ضخمة من بيانات المؤسسات خلال شهر أغسطس 2025، مستغلًا عدة ثغرات في أوراكل من بينها تلك التي أُصلحت في تحديث يوليو 2025، وأخرى جرى إصلاحها حديثًا ضمن الثغرة CVE-2025-61882.
تحذير من استمرار الاستغلال
أكد تشارلز كارماكال، المدير التقني في مانديانت، أن عمليات الاستغلال الواسعة قد تمت بالفعل وأن جهات تهديد أخرى قد تواصل استغلالها حتى بعد إصدار التصحيح، محذرًا بقوله:
«بغض النظر عن موعد تطبيق التحديث، ينبغي على المؤسسات التحقق فورًا مما إذا كانت قد تعرضت للاختراق بالفعل».
