Il Washington Post ha confermato di essere stato colpito da un attacco informatico su larga scala che ha sfruttato una vulnerabilità zero-day nella E-Business Suite (EBS) di Oracle. L’incidente fa parte di una campagna diffusa attribuita al gruppo ransomware Cl0p, che ha preso di mira migliaia di organizzazioni in tutto il mondo utilizzando lo stesso difetto.
In una breve dichiarazione, la società ha affermato di essere stata “colpita dalla violazione della piattaforma Oracle E-Business Suite”. La pubblicazione non ha rivelato dettagli sul tipo di dati interessati, ma gli analisti della sicurezza informatica ritengono che gli aggressori possano aver avuto accesso a informazioni finanziarie e amministrative sensibili.
La vulnerabilità alla base dell’incidente, tracciata come CVE-2025-61882, consente l’esecuzione di codice remoto non autorizzato su server Oracle EBS senza patch. Secondo i ricercatori sulle minacce di Mandiant e del Threat Intelligence Group di Google, Cl0p ha iniziato a sfruttare il difetto all’inizio di agosto 2025, mesi prima che Oracle rilasciasse una patch. L’exploit è stato descritto come semplice da implementare e in grado di fornire agli aggressori il pieno controllo sui sistemi vulnerabili senza bisogno di credenziali valide.
Oracle ha rilasciato una correzione il 4 ottobre dopo aver osservato indicazioni di sfruttamento attivo all’inizio di quel mese. La società ha avvertito che qualsiasi istanza EBS accessibile da Internet e in esecuzione versioni comprese tra 12.2.3 e 12.2.14 potrebbe essere già stata compromessa. Oracle ha esortato i clienti ad applicare immediatamente la patch e a condurre revisioni forensi per identificare le attività non autorizzate.
Cl0p, un gruppo di ransomware noto per il furto di dati e l’estorsione su larga scala, ha elencato diverse organizzazioni colpite sul suo sito di leak, tra cui istituzioni finanziarie, società di logistica e fornitori di servizi tecnologici. Il gruppo in genere richiede il pagamento in cambio della cancellazione delle informazioni rubate o del ritardo nella loro pubblicazione.
Mentre il Washington Post ha confermato la sua inclusione tra le parti interessate, il giornale ha affermato che continua a funzionare normalmente. I team di sicurezza stanno valutando la portata dell’intrusione e hanno implementato ulteriori controlli di monitoraggio e accesso per prevenire ulteriori compromissioni.
Problemi globali di sfruttamento e catena di approvvigionamento
Gli esperti di sicurezza hanno descritto l’attacco come una delle violazioni del software aziendale più significative degli ultimi anni a causa dell’uso diffuso di Oracle EBS nella finanza aziendale, nella logistica e nelle risorse umane. La piattaforma funge da sistema centrale per l’elaborazione di dati aziendali sensibili, rendendola un obiettivo prezioso per gli attori delle minacce motivati finanziariamente.
La campagna Cl0p segna un altro esempio di come gli aggressori passino da violazioni di singole aziende allo sfruttamento degli ecosistemi dei fornitori. Compromettendo una piattaforma aziendale di uso comune, un singolo exploit può fornire l’accesso a più client contemporaneamente. Questa strategia rispecchia le precedenti operazioni Cl0p, come gli attacchi di trasferimento file MOVEit che hanno colpito agenzie governative e società globali nel 2023.
I ricercatori avvertono che le organizzazioni che si affidano a software aziendali di terze parti rimangono altamente esposte. L’intrusione iniziale si verifica spesso attraverso vulnerabilità a livello di applicazione, aggirando le protezioni standard degli endpoint e rendendo difficile il rilevamento. Una volta all’interno, gli aggressori possono spostarsi lateralmente attraverso sistemi affidabili, esfiltrare dati sensibili e lanciare campagne di estorsione.
Per le aziende interessate, gli esperti raccomandano una combinazione di patching, segmentazione della rete e monitoraggio continuo. I sistemi che eseguono versioni precedenti o personalizzate di Oracle EBS devono essere sottoposti a revisione prioritaria e tutte le connessioni esterne alla piattaforma devono essere limitate.
Sebbene la patch di Oracle risolva la vulnerabilità, gli investigatori ritengono che alcuni sistemi compromessi possano già contenere backdoor persistenti installate prima del rilascio della correzione. Di conseguenza, l’applicazione dell’aggiornamento da sola potrebbe non rimuovere la minaccia. Si consiglia ai team di sicurezza di condurre un’analisi forense dettagliata per confermare che gli aggressori non abbiano più accesso.
Il coinvolgimento del Washington Post nella violazione evidenzia il crescente impatto degli incidenti informatici della catena di approvvigionamento che si estendono a tutti i settori e le industrie. Poiché gli aggressori sfruttano piattaforme aziendali ampiamente distribuite, anche le organizzazioni con solide difese interne possono essere colpite indirettamente.
L’indagine sugli attacchi Oracle EBS sta continuando e sia Oracle che le agenzie federali per la sicurezza informatica stanno collaborando con le aziende colpite per valutare l’intera portata della campagna. Per ora, l’incidente serve come ulteriore promemoria del fatto che le vulnerabilità nel software aziendale possono diventare rapidamente punti di ingresso per gruppi di ransomware globali con portata e risorse significative.