Một chiến dịch tấn công mới đang khiến cộng đồng an ninh mạng chấn động. Oracle xác nhận tin tặc đã đánh cắp dữ liệu từ hệ thống E-Business Suite (EBS) - nền tảng quản lý doanh nghiệp được nhiều tập đoàn lớn trên thế giới sử dụng. Sau khi xâm nhập, nhóm tấn công đã gửi hàng loạt email tống tiền tới lãnh đạo và bộ phận CNTT của các doanh nghiệp, đòi khoản chuộc lên tới 50 triệu USD.
E-Business Suite là nền tảng lõi phục vụ hàng nghìn tổ chức trên toàn cầu, từ ngân hàng, tập đoàn công nghiệp, đến cơ quan chính phủ. Do đó, việc dữ liệu EBS bị rò rỉ có thể làm tê liệt hoạt động kinh doanh, gây tổn thất tài chính và uy tín nghiêm trọng.
Theo thông tin từ Oracle, vụ việc liên quan đến những lỗ hổng đã được khắc phục trong bản vá bảo mật tháng 7/2025 (July Critical Patch Update). Tuy nhiên, một số tổ chức chưa kịp cập nhật, vô tình trở thành mục tiêu của tin tặc.
Từ cuối tháng 9, nhiều công ty bắt đầu nhận được email tống tiền kèm bằng chứng như ảnh chụp màn hình, danh sách tệp tin, thậm chí là trích xuất dữ liệu thực tế. Các email này được gửi từ tài khoản email hợp pháp bị chiếm quyền, khiến chúng vượt qua được các bộ lọc chống spam.
Nhóm tin tặc tự nhận là thành viên của băng nhóm Cl0p (một tổ chức khét tiếng từng đứng sau các vụ tấn công quy mô toàn cầu như MOVEit năm 2023). Dù chưa có xác nhận chính thức, nhiều bằng chứng kỹ thuật (ngôn ngữ trong email, địa chỉ liên hệ, cách trình bày thông điệp) đều trùng khớp với phong cách quen thuộc của Cl0p.
Theo điều tra ban đầu, các hacker lợi dụng điểm yếu trong cổng EBS tiếp xúc Internet. Một số nguồn cho rằng chúng lạm dụng chức năng đặt lại mật khẩu mặc định, trong khi nhiều chuyên gia nghiêng về khả năng khai thác lỗ hổng ứng dụng chưa được vá trong CPU tháng 7/2025.
Khi xâm nhập thành công, chúng sao chép toàn bộ dữ liệu doanh nghiệp, bao gồm: Thông tin tài chính, giao dịch, dữ liệu khách hàng và nhân viên. Sau đó, nhóm này gửi email đe dọa công bố dữ liệu nếu nạn nhân không chi tiền chuộc.
Điểm đáng chú ý là chiến dịch này có tính toán rất kỹ, các email được gửi từ hàng trăm tài khoản bị xâm nhập, khiến việc xác định nguồn gốc thực sự trở nên khó khăn.
Dù Oracle cho biết họ đang phối hợp với cơ quan chức năng để điều tra, song rủi ro hiện tại vẫn rất cao nếu hệ thống chưa được vá. Nhiều chuyên gia ví von: “Một bản vá bị bỏ quên có thể trở thành cánh cửa mở toang cho cả doanh nghiệp.”
Oracle khuyến nghị tất cả khách hàng của EBS cần kiểm tra ngay tình trạng bản vá tháng 7/2025 trên mọi môi trường, kể cả bản test, clone hay cổng quản trị nội bộ. Ngoài ra, chuyên gia bảo mật cũng đưa ra một số biện pháp cấp thiết:
Oracle đặc biệt khuyến cáo người dùng áp dụng ngay lập tức các bản cập nhật bảo mật đã được cung cấp và thông báo trong các bản tin cảnh báo.
E-Business Suite là nền tảng lõi phục vụ hàng nghìn tổ chức trên toàn cầu, từ ngân hàng, tập đoàn công nghiệp, đến cơ quan chính phủ. Do đó, việc dữ liệu EBS bị rò rỉ có thể làm tê liệt hoạt động kinh doanh, gây tổn thất tài chính và uy tín nghiêm trọng.
Theo thông tin từ Oracle, vụ việc liên quan đến những lỗ hổng đã được khắc phục trong bản vá bảo mật tháng 7/2025 (July Critical Patch Update). Tuy nhiên, một số tổ chức chưa kịp cập nhật, vô tình trở thành mục tiêu của tin tặc.
Từ cuối tháng 9, nhiều công ty bắt đầu nhận được email tống tiền kèm bằng chứng như ảnh chụp màn hình, danh sách tệp tin, thậm chí là trích xuất dữ liệu thực tế. Các email này được gửi từ tài khoản email hợp pháp bị chiếm quyền, khiến chúng vượt qua được các bộ lọc chống spam.
Nhóm tin tặc tự nhận là thành viên của băng nhóm Cl0p (một tổ chức khét tiếng từng đứng sau các vụ tấn công quy mô toàn cầu như MOVEit năm 2023). Dù chưa có xác nhận chính thức, nhiều bằng chứng kỹ thuật (ngôn ngữ trong email, địa chỉ liên hệ, cách trình bày thông điệp) đều trùng khớp với phong cách quen thuộc của Cl0p.
Khi xâm nhập thành công, chúng sao chép toàn bộ dữ liệu doanh nghiệp, bao gồm: Thông tin tài chính, giao dịch, dữ liệu khách hàng và nhân viên. Sau đó, nhóm này gửi email đe dọa công bố dữ liệu nếu nạn nhân không chi tiền chuộc.
Điểm đáng chú ý là chiến dịch này có tính toán rất kỹ, các email được gửi từ hàng trăm tài khoản bị xâm nhập, khiến việc xác định nguồn gốc thực sự trở nên khó khăn.
Dù Oracle cho biết họ đang phối hợp với cơ quan chức năng để điều tra, song rủi ro hiện tại vẫn rất cao nếu hệ thống chưa được vá. Nhiều chuyên gia ví von: “Một bản vá bị bỏ quên có thể trở thành cánh cửa mở toang cho cả doanh nghiệp.”
Oracle khuyến nghị tất cả khách hàng của EBS cần kiểm tra ngay tình trạng bản vá tháng 7/2025 trên mọi môi trường, kể cả bản test, clone hay cổng quản trị nội bộ. Ngoài ra, chuyên gia bảo mật cũng đưa ra một số biện pháp cấp thiết:
- Cập nhật đầy đủ bản vá CPU tháng 7/2025 cho tất cả hệ thống EBS.
- Giám sát log truy cập để phát hiện hoạt động đặt lại mật khẩu bất thường.
- Bật xác thực đa yếu tố (MFA) cho tất cả tài khoản EBS, đặc biệt là tài khoản quản trị.
- Giới hạn quyền truy cập từ Internet, chỉ cho phép quản trị qua mạng nội bộ hoặc VPN an toàn.
- Tăng cường bảo mật email (SPF, DKIM, DMARC) để ngăn việc lạm dụng tài khoản gửi thư tống tiền.
- Kiểm tra tính toàn vẹn hệ thống và duy trì bản sao lưu ngoại tuyến.
CVE Details | Information |
|---|---|
| CVE ID | CVE-2025-61882 |
| Affected Product | Oracle E-Business Suite (versions 12.2.3 – 12.2.14) |
| CVSS 3.1 Score | 9.8 (Critical) |
| Impact | Remote Code Execution without authentication |
| Exploit Prerequisites | Network access, no authentication required |
| Attack Vector | Network (HTTP protocol) |
| Component | Oracle Concurrent Processing BI Publisher Integration |
| PoC Available | Yes (Nuclei detection template by rxerium) |
Oracle đặc biệt khuyến cáo người dùng áp dụng ngay lập tức các bản cập nhật bảo mật đã được cung cấp và thông báo trong các bản tin cảnh báo.
Theo WhiteHat.vn
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview