**Confirmado el uso activo de la vulnerabilidad crítica CVE-2025-61884 en Oracle E-Business Suite**

—

### Introducción

La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha emitido una alerta confirmando la explotación activa de una vulnerabilidad crítica en Oracle E-Business Suite, identificada como CVE-2025-61884. La inclusión de esta vulnerabilidad en el catálogo KEV (Known Exploited Vulnerabilities) subraya la urgencia para las organizaciones de evaluar y mitigar los riesgos asociados, especialmente considerando la prevalencia de este ERP en sectores críticos y la sofisticación de las últimas campañas de ataque.

—

### Contexto del Incidente o Vulnerabilidad

Oracle E-Business Suite (EBS) es una plataforma ERP ampliamente implantada a nivel global, abarcando módulos de finanzas, recursos humanos, gestión de la cadena de suministro, entre otros. La vulnerabilidad CVE-2025-61884 fue originalmente revelada en la actualización de seguridad de Oracle de abril de 2024, pero no fue hasta junio de 2024 cuando se detectó su explotación activa en entornos productivos.

La vulnerabilidad afecta a las versiones E-Business Suite 12.2.x, las más utilizadas en entornos corporativos tras el fin de soporte de versiones anteriores en 2021. Dada la criticidad de los datos y procesos gestionados por EBS, la explotación de esta vulnerabilidad supone un riesgo elevado para la confidencialidad, integridad y disponibilidad de los sistemas afectados.

—

### Detalles Técnicos

#### Identificación y alcance

– **CVE**: CVE-2025-61884
– **CVSS v3.1**: 9.8 (Crítica)
– **Componentes afectados**: Oracle E-Business Suite (EBS) 12.2.x
– **Vector de ataque**: Remoto, sin autenticación previa

#### Vector de ataque y TTPs

El fallo reside en una vulnerabilidad de deserialización insegura en uno de los servicios SOAP expuestos por EBS, lo que permite a un atacante remoto ejecutar código arbitrario en el servidor subyacente. Según el marco MITRE ATT&CK, la técnica asociada es **Exploitation for Client Execution (T1203)** y **Remote System Discovery (T1018)**.

El exploit permite la escalada de privilegios y la ejecución de comandos con los permisos del usuario del servicio EBS, facilitando el movimiento lateral (T1075) y la persistencia (T1547). Se han identificado indicadores de compromiso (IoC) asociados, como la creación de procesos anómalos (cmd.exe, powershell.exe), conexiones salientes hacia C2 y la presencia de artefactos generados por frameworks como **Cobalt Strike** y **Metasploit**.

#### Exploits conocidos

Pocos días después de la publicación del parche, se detectaron PoC (Proof of Concept) en repositorios públicos, acelerando la explotación masiva. Múltiples actores de amenazas han incorporado el exploit en toolkits automatizados, permitiendo el escaneo y explotación en menos de 24 horas desde la detección del servicio vulnerable.

—

### Impacto y Riesgos

La explotación exitosa de CVE-2025-61884 puede dar lugar a:

– Compromiso total del servidor EBS y, por extensión, de la infraestructura interna.
– Robo de credenciales, datos financieros y personales sensibles (afectando a GDPR).
– Interrupción de procesos críticos de negocio (caídas de ERP, manipulación de transacciones).
– Despliegue de ransomware o malware orientado a la extorsión.

Según estimaciones del sector, hasta un 18% de las instalaciones de EBS a nivel mundial no aplican parches de seguridad en los 60 días posteriores a su liberación, lo que expone potencialmente a miles de organizaciones. Las implicaciones económicas pueden superar los 4 millones de dólares por incidente, según el último informe de IBM sobre el coste promedio de una brecha de datos en entornos ERP.

—

### Medidas de Mitigación y Recomendaciones

– **Aplicar inmediatamente los parches oficiales de Oracle** (actualización de abril de 2024 o posterior).
– Restringir el acceso externo a servicios SOAP y puertos asociados.
– Implementar segmentación de red y controles de firewall específicos.
– Monitorizar logs de EBS y sistemas perimetrales en busca de IoC conocidos, tales como procesos inusuales o conexiones C2.
– Revisar la configuración de privilegios y aplicar el principio de mínimo privilegio.
– Realizar auditorías de seguridad periódicas sobre la plataforma EBS utilizando herramientas de análisis de vulnerabilidades y escáneres automatizados.

—

### Opinión de Expertos

Analistas de amenazas y responsables de equipos SOC coinciden en la gravedad del incidente. Marta Ramos, CISO de una institución financiera española, señala: “El hecho de que existan exploits públicos y campañas activas dirigidas a ERP como Oracle EBS lo convierte en un objetivo prioritario para los atacantes, especialmente en entornos con cumplimiento normativo estricto como GDPR o NIS2”.

Por su parte, el investigador de seguridad Carlos Sánchez destaca el riesgo añadido: “La deserialización insegura en aplicaciones críticas es una puerta de entrada directa a la infraestructura corporativa. El tiempo de reacción es clave”.

—

### Implicaciones para Empresas y Usuarios

Las organizaciones que gestionan información sensible a través de Oracle EBS deben considerar este incidente como una amenaza activa y prioritaria. Más allá del riesgo técnico, la explotación de CVE-2025-61884 puede derivar en sanciones regulatorias (GDPR, NIS2), pérdida de confianza de clientes y daño reputacional.

Para los usuarios finales, si bien el acceso es típicamente restringido a entornos internos, la exposición accidental de interfaces EBS a Internet multiplica el riesgo y facilita ataques automatizados.

—

### Conclusiones

La explotación activa de CVE-2025-61884 en Oracle E-Business Suite evidencia la necesidad de una gestión proactiva de vulnerabilidades, especialmente en sistemas ERP críticos. La rápida publicación de exploits y la confirmación por parte de CISA deben servir como llamada de atención para la aplicación inmediata de parches, la mejora de la visibilidad y la adopción de medidas defensivas robustas en entornos empresariales.

(Fuente: www.bleepingcomputer.com)