De Washington Post heeft bevestigd dat het is getroffen door een grootschalige cyberaanval waarbij misbruik is gemaakt van een zero-day-kwetsbaarheid in Oracle’s E-Business Suite (EBS). Het incident maakt deel uit van een wijdverbreide campagne die wordt toegeschreven aan de Cl0p ransomware-groep, die zich met dezelfde fout op duizenden organisaties over de hele wereld heeft gericht.
In een korte verklaring zei het bedrijf dat het “getroffen was door de inbreuk op het Oracle E-Business Suite-platform”. De publicatie maakte geen details bekend over welk type gegevens werd getroffen, maar cyberbeveiligingsanalisten zijn van mening dat aanvallers mogelijk toegang hebben gehad tot gevoelige financiële en administratieve informatie.
De kwetsbaarheid achter het incident, bijgehouden als CVE-2025-61882, maakt ongeoorloofde uitvoering van externe code mogelijk op niet-gepatchte Oracle EBS-servers. Volgens dreigingsonderzoekers van Mandiant en Google’s Threat Intelligence Group, Cl0p begon begin augustus 2025 met het misbruiken van de fout, maanden voordat Oracle een patch uitbracht. De exploit werd beschreven als eenvoudig te implementeren en in staat om aanvallers volledige controle te geven over kwetsbare systemen zonder dat ze geldige inloggegevens nodig hebben.
Oracle bracht op 4 oktober een fix uit na het waarnemen van aanwijzingen van actieve uitbuiting eerder die maand. Het bedrijf waarschuwde dat elke EBS-instantie die toegankelijk is vanaf het internet en versies tussen 12.2.3 en 12.2.14 draait, mogelijk al is gecompromitteerd. Oracle drong er bij klanten op aan de patch onmiddellijk toe te passen en forensische onderzoeken uit te voeren om ongeoorloofde activiteiten te identificeren.
Cl0p, een ransomwaregroep die bekend staat om grootschalige gegevensdiefstal en afpersing, heeft verschillende getroffen organisaties op zijn leksite vermeld, waaronder financiële instellingen, logistieke bedrijven en technologiedienstverleners. De groep eist doorgaans betaling in ruil voor het verwijderen van gestolen informatie of het uitstellen van de publicatie ervan.
Terwijl de Washington Post bevestigde dat het een van de betrokken partijen was, zei de krant dat het normaal blijft werken. Beveiligingsteams beoordelen de omvang van de inbraak en hebben aanvullende monitoring- en toegangscontroles geïmplementeerd om verdere compromittering te voorkomen.
Wereldwijde uitbuiting en zorgen over de toeleveringsketen
Beveiligingsexperts hebben de aanval beschreven als een van de belangrijkste inbreuken op bedrijfssoftware in de afgelopen jaren vanwege het wijdverbreide gebruik van Oracle EBS in bedrijfsfinanciën, logistiek en human resources. Het platform dient als een kernsysteem voor het verwerken van gevoelige bedrijfsgegevens, waardoor het een waardevol doelwit is voor financieel gemotiveerde bedreigingsactoren.
De Cl0p-campagne markeert een ander voorbeeld van aanvallers die overstappen van inbreuken op één bedrijf naar uitbuiting van leveranciersecosystemen. Door een veelgebruikt bedrijfsplatform te compromitteren, kan een enkele exploit toegang bieden tot meerdere clients tegelijk. Deze strategie weerspiegelt eerdere Cl0p-operaties, zoals de MOVEit-aanvallen op bestandsoverdracht die overheidsinstanties en internationale bedrijven in 2023 troffen.
Onderzoekers waarschuwen dat organisaties die afhankelijk zijn van bedrijfssoftware van derden nog steeds zeer kwetsbaar zijn. De eerste inbraak vindt vaak plaats via kwetsbaarheden in de applicatielaag, waardoor de standaard endpointbeveiliging wordt omzeild en detectie wordt bemoeilijkt. Eenmaal binnen kunnen aanvallers zich lateraal door vertrouwde systemen bewegen, gevoelige gegevens exfiltreren en afpersingscampagnes lanceren.
Voor getroffen bedrijven raden experts een combinatie van patching, netwerksegmentatie en continue monitoring aan. Systemen met oudere of aangepaste versies van Oracle EBS moeten prioriteit krijgen voor beoordeling en alle externe verbindingen met het platform moeten worden beperkt.
Hoewel de patch van Oracle de kwetsbaarheid aanpakt, denken onderzoekers dat sommige gecompromitteerde systemen mogelijk al persistente backdoors bevatten die zijn geïnstalleerd voordat de fix werd uitgebracht. Als gevolg hiervan wordt de dreiging mogelijk niet verwijderd als u de update alleen toepast. Beveiligingsteams wordt geadviseerd om een gedetailleerde forensische analyse uit te voeren om te bevestigen dat aanvallers geen toegang meer hebben.
De betrokkenheid van de Washington Post bij de inbreuk benadrukt de groeiende impact van cyberincidenten in de toeleveringsketen die zich uitstrekken over industrieën en sectoren. Aangezien aanvallers misbruik maken van wijdverbreide bedrijfsplatforms, kunnen zelfs organisaties met een sterke interne verdediging indirect worden getroffen.
Het onderzoek naar de Oracle EBS-aanvallen gaat door en zowel Oracle als federale cyberbeveiligingsinstanties werken samen met getroffen bedrijven om de volledige reikwijdte van de campagne te beoordelen. Voorlopig dient het incident als een nieuwe herinnering dat kwetsbaarheden in bedrijfssoftware snel toegangspunten kunnen worden voor wereldwijde ransomware-groepen met een aanzienlijk bereik en middelen.