Uma vulnerabilidade zero-day no Oracle E-Business Suite, afetando as versões 12.2.3 a 12.2.14, permitiu a execução remota de código e o acesso não autorizado a servidores corporativos, segundo especialistas. Os ataques teriam começado no início de 2025 e são atribuídos a grupos de ransomware organizados, como FIN11 e Cl0p.
Entre as vítimas confirmadas estão The Washington Post, Harvard University, Schneider Electric e Cox Enterprises. O Washington Post, que teria dados corporativos expostos após recusar pagar o resgate, já aparece em sites de vazamentos. Estimativas de pagamentos em casos ligados aos grupos citados costumam alcançar dezenas de milhões de dólares.
A campanha demonstra um padrão de invasões coordenadas, ocorrendo em diferentes países de forma simultânea e explorando a mesma brecha antes de patches serem aplicados pelas organizações afetadas. Em muitos casos, os invasores permaneceram dentro das redes por semanas, coletando informações e mapeando a infraestrutura interna.
Em resposta, a Oracle lançou um patch emergencial e orienta clientes a aplicar imediatamente a atualização. A empresa também ressaltou que vulnerabilidade foi sanada nas versões mais recentes do Oracle E-Business Suite, mas recomenda revisar configurações, senhas e políticas de acesso para reduzir riscos residuais. Sistemas em versões antigas continuam sob risco se não atualizados.
Especialistas destacam que esse episódio reforça a tendência de aumento de ataques baseados em vulnerabilidades corporativas, com foco em ERP e ferramentas de gestão. Recomendam MFA, monitoramento contínuo, segmentação de rede e auditorias de conformidade com LGPD e GDPR, bem como estratégias de Zero Trust para reduzir impactos futuros.
