AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**Explotación de CVE-2025-61757: Nuevo vector de ataque tras la brecha en Oracle Cloud y campañas de extorsión**

admin

### 1. Introducción

En los últimos meses, el ecosistema de Oracle ha sido el foco de actividad maliciosa significativa, situando a sus productos y servicios en el punto de mira de actores de amenazas avanzados. Tras la reciente brecha en Oracle Cloud y una oleada de campañas de extorsión dirigidas a clientes de Oracle E-Business Suite, la explotación activa de la vulnerabilidad CVE-2025-61757 plantea nuevos riesgos operativos y regulatorios para organizaciones dependientes de estas soluciones críticas.

### 2. Contexto del Incidente o Vulnerabilidad

A principios de 2024, Oracle Cloud sufrió una brecha de seguridad que expuso datos sensibles y evidenció deficiencias en los controles de acceso y monitorización de eventos. Paralelamente, clientes de Oracle E-Business Suite fueron objeto de una sofisticada campaña de extorsión, en la que los atacantes amenazaban con divulgar información confidencial sustraída mediante accesos no autorizados. En este contexto, la aparición y explotación activa de la vulnerabilidad CVE-2025-61757 incrementa la superficie de ataque y demuestra la persistencia y sofisticación de los grupos cibercriminales interesados en el ecosistema Oracle.

### 3. Detalles Técnicos (CVE, vectores de ataque, TTP MITRE ATT&CK, IoC…)

**CVE-2025-61757** es una vulnerabilidad crítica, catalogada con una puntuación CVSS de 9.8, que afecta a implementaciones específicas de Oracle E-Business Suite (versiones 12.2.10 y anteriores). La vulnerabilidad reside en el mecanismo de autenticación de servicios web expuestos públicamente, permitiendo la ejecución remota de código (RCE) sin autenticación previa mediante el envío de peticiones SOAP especialmente manipuladas.

El vector de ataque principal implica la explotación del endpoint vulnerable a través de comandos inyectados en el payload SOAP, lo que permite al adversario ejecutar comandos arbitrarios con privilegios elevados en el sistema subyacente. Los TTP identificados se alinean con las técnicas MITRE ATT&CK T1190 (Exploitation of Remote Services) y T1210 (Exploitation of Remote Services), observándose el uso de herramientas automatizadas para la identificación masiva de instancias vulnerables y la explotación mediante scripts personalizados y módulos específicos de frameworks como Metasploit.

Entre los IoC detectados destacan:

– Direcciones IP asociadas a escaneo masivo en puertos 8000, 8080, 443.
– Cadenas características en logs como `/OA_HTML/RPCServlet`.
– Payloads SOAP con comandos ofuscados en base64.

Existe ya un módulo público en Metasploit y se han observado exploits personalizados circulando en foros clandestinos, lo que incrementa el riesgo de explotación oportunista.

### 4. Impacto y Riesgos

La explotación exitosa de CVE-2025-61757 permite a los atacantes comprometer la integridad, confidencialidad y disponibilidad de los sistemas afectados. Las consecuencias directas incluyen la posibilidad de robo de credenciales, exfiltración de datos críticos (financieros, personales y de negocio), despliegue de ransomware y establecimiento de persistencia a través de webshells y cuentas privilegiadas.

Se estima que más del 38% de las organizaciones que utilizan Oracle E-Business Suite en entornos on-premises o híbridos están potencialmente expuestas, especialmente aquellas que no han aplicado parches de seguridad en los últimos seis meses. El impacto económico derivado de incidentes previos relacionados con Oracle Cloud y EBS supera los 25 millones de euros en pérdidas directas e indirectas, según análisis sectoriales recientes.

Además, la explotación de esta vulnerabilidad puede suponer incumplimientos graves de normativas como GDPR y NIS2, con sanciones que pueden alcanzar el 4% de la facturación anual global.

### 5. Medidas de Mitigación y Recomendaciones

Oracle ha publicado un parche de emergencia para CVE-2025-61757, disponible a través de My Oracle Support. Se recomienda encarecidamente:

– Aplicar de inmediato los parches de seguridad en todos los entornos afectados.
– Revisar y limitar la exposición de endpoints SOAP a Internet, empleando soluciones de filtrado y segmentación de red.
– Monitorizar logs de acceso y tráfico inusual hacia los servicios OA_HTML y RPCServlet.
– Implementar herramientas EDR y WAF con reglas específicas para detectar y bloquear payloads sospechosos.
– Realizar revisiones de configuración y auditorías de permisos en cuentas privilegiadas asociadas a Oracle EBS.

### 6. Opinión de Expertos

Analistas de ciberseguridad y responsables de SOC coinciden en que la rápida explotación de CVE-2025-61757 demuestra la profesionalización del cibercrimen orientado a plataformas ERP. “La ventana entre la publicación del CVE y la explotación real se está acortando drásticamente. Las organizaciones deben priorizar la agilidad en la gestión de parches y la visibilidad sobre los activos críticos”, señala Luis Sánchez, CISO de una multinacional del sector financiero.

### 7. Implicaciones para Empresas y Usuarios

Más allá del riesgo técnico, la explotación de CVE-2025-61757 representa una amenaza significativa para la continuidad operativa y la reputación corporativa. Las empresas deben anticiparse a posibles auditorías regulatorias y demandas de clientes o partners afectados. Además, se prevé un aumento de ataques dirigidos a la cadena de suministro, aprovechando la interconexión entre sistemas ERP y soluciones de terceros.

Los usuarios finales pueden ver comprometidos sus datos personales y financieros, siendo potencialmente víctimas de fraudes adicionales.

### 8. Conclusiones

La explotación de CVE-2025-61757 marca un nuevo hito en la evolución de las amenazas dirigidas a entornos Oracle, especialmente tras la brecha en Oracle Cloud y la reciente oleada de extorsiones. El riesgo para empresas es elevado y requiere una respuesta coordinada, ágil y proactiva tanto a nivel técnico como de cumplimiento normativo. La anticipación, la formación y la actualización constante son claves ante un escenario de amenazas cada vez más dinámico y sofisticado.

(Fuente: www.darkreading.com)