O Washington Post confirmou que foi afetado por um ataque cibernético em larga escala explorando uma vulnerabilidade de dia zero no E-Business Suite (EBS) da Oracle. O incidente faz parte de uma campanha generalizada atribuída ao grupo de ransomware Cl0p, que tem como alvo milhares de organizações em todo o mundo usando a mesma falha.
Em um breve comunicado, a empresa disse que foi “impactada pela violação da plataforma Oracle E-Business Suite”. A publicação não divulgou detalhes sobre que tipo de dados foram afetados, mas analistas de segurança cibernética acreditam que os invasores podem ter acessado informações financeiras e administrativas confidenciais.
A vulnerabilidade por trás do incidente, rastreada como CVE-2025-61882, permite a execução remota não autorizada de código em servidores Oracle EBS sem patch. De acordo com pesquisadores de ameaças da Mandiant e do Grupo de Inteligência de Ameaças do Google, o Cl0p começou a explorar a falha no início de agosto de 2025, meses antes de a Oracle lançar um patch. A exploração foi descrita como simples de implantar e capaz de dar aos invasores controle total sobre sistemas vulneráveis sem precisar de credenciais válidas.
A Oracle lançou uma correção em 4 de outubro depois de observar indícios de exploração ativa no início daquele mês. A empresa alertou que qualquer instância do EBS acessível pela internet e executando versões entre 12.2.3 e 12.2.14 pode já ter sido comprometida. A Oracle pediu aos clientes que apliquem o patch imediatamente e realizem análises forenses para identificar atividades não autorizadas.
Cl0p, um grupo de ransomware conhecido por roubo e extorsão de dados em grande escala, listou várias organizações afetadas em seu site de vazamento, incluindo instituições financeiras, empresas de logística e provedores de serviços de tecnologia. O grupo normalmente exige pagamento em troca da exclusão de informações roubadas ou do atraso de sua publicação.
Embora o Washington Post tenha confirmado sua inclusão entre as partes afetadas, o jornal disse que continua operando normalmente. As equipes de segurança estão avaliando o escopo da intrusão e implementaram monitoramento adicional e controles de acesso para evitar mais comprometimentos.
Exploração global e preocupações com a cadeia de suprimentos
Especialistas em segurança descreveram o ataque como uma das violações de software corporativo mais significativas dos últimos anos devido ao uso generalizado do Oracle EBS em finanças corporativas, logística e recursos humanos. A plataforma serve como um sistema central para processar dados comerciais confidenciais, tornando-se um alvo valioso para agentes de ameaças com motivação financeira.
A campanha Cl0p marca outro exemplo de invasores mudando de violações de uma única empresa para a exploração de ecossistemas de fornecedores. Ao comprometer uma plataforma corporativa comumente usada, um único exploit pode fornecer acesso a vários clientes ao mesmo tempo. Essa estratégia reflete as operações anteriores do Cl0p, como os ataques de transferência de arquivos MOVEit que afetaram agências governamentais e corporações globais em 2023.
Os pesquisadores alertam que as organizações que dependem de software corporativo de terceiros permanecem altamente expostas. A intrusão inicial geralmente ocorre por meio de vulnerabilidades na camada de aplicação, ignorando as proteções de endpoint padrão e dificultando a detecção. Uma vez lá dentro, os invasores podem se mover lateralmente por meio de sistemas confiáveis, exfiltrar dados confidenciais e lançar campanhas de extorsão.
Para as empresas afetadas, os especialistas recomendam uma combinação de patches, segmentação de rede e monitoramento contínuo. Os sistemas que executam versões mais antigas ou personalizadas do Oracle EBS devem ser priorizados para revisão e todas as conexões externas com a plataforma devem ser restritas.
Embora o patch da Oracle resolva a vulnerabilidade, os investigadores acreditam que alguns sistemas comprometidos já podem conter backdoors persistentes instalados antes do lançamento da correção. Como resultado, aplicar a atualização por si só pode não remover a ameaça. As equipes de segurança são aconselhadas a realizar uma análise forense detalhada para confirmar que os invasores não têm mais acesso.
O envolvimento do Washington Post na violação destaca o crescente impacto dos incidentes cibernéticos da cadeia de suprimentos que atingem indústrias e setores. À medida que os invasores exploram plataformas de negócios amplamente implantadas, mesmo organizações com fortes defesas internas podem ser afetadas indiretamente.
A investigação sobre os ataques do Oracle EBS continua, e tanto a Oracle quanto as agências federais de segurança cibernética estão trabalhando com as empresas afetadas para avaliar todo o escopo da campanha. Por enquanto, o incidente serve como outro lembrete de que vulnerabilidades em software corporativo podem rapidamente se tornar pontos de entrada para grupos globais de ransomware com alcance e recursos significativos.