Alles, was Sie über den Oracle Data Breach wissen müssen

Am 20. November griff ein Cyberkriminellen-Netzwerk die Oracle E-Business Suite an und exfiltrierte Daten von nahezu 30 Großunternehmen.

Alles, was Sie über den Oracle Data Breach wissen müssen

Wichtigste Erkenntnisse des Artikels:

  • Die Cyberkriminalitätsorganisation Cl0p hat eine Zero-Day-Schwachstelle in der Oracle E-Business Suite ausgenutzt, was zu schwerwiegenden Datenschutzverletzungen bei Dutzenden großer Konzerne geführt hat. Die Ransomware-Gruppe fordert hohe Lösegeldzahlungen von einigen der größten Unternehmen weltweit, angeblich darunter Broadcom, Estée Lauder, Mazda und Canon. 
  • Eine Zero-Day-Schwachstelle ist eine Sicherheitslücke in Software, Hardware oder Firmware, die den Entwicklern unbekannt ist und daher von Cyberkriminellen und anderen böswilligen Akteuren ausgenutzt werden kann. 
  • Bisher wurden über 100 Unternehmen von Cl0ps Angriffen auf Oracle EBS betroffen. Innerhalb von 24 Stunden zwischen dem 20. und 21. November hat die Gruppe Berichten zufolge Verstöße ausgenutzt und Daten von 29 Unternehmen exfiltriert. Diese Unternehmen haben Hauptsitze in den USA, Japan, Saudi-Arabien und umfassen Konzerne mit Bewertungen in Höhe von Hunderten Milliarden Dollar. 

Ab Donnerstag, 20. November, und am Folgetag setzte die als Cl0p bekannte Cyberkriminalitätsorganisation eine Zero-Day-Schwachstelle in der Oracle E-Business Suite ausgenutzt ein. Dies führte bei Dutzenden Großunternehmen zu kritischen Datenschutzverletzungen. Die Ransomware-Gruppe fordert erhebliche Zahlungen von einigen der weltweit größten Unternehmen, darunter angeblich Broadcom, Estée Lauder, Mazda und Canon. In einer von Cl0p versandten und in den Medien veröffentlichten E-Mail betonen die Kriminellen, „weder politische Macht anzustreben noch sich für irgendein Geschäft zu interessieren“. Das alleinige Ziel sei es, die betroffenen Unternehmen zu zwingen, die „geforderte Summe zu bezahlen“.

Wer ist Cl0p?

Die Cyberkriminalitätsgruppe, die die Verantwortung für die Angriffe auf Oracle E-Business Suite-Kunden übernimmt, nennt sich Cl0p. Die russischsprachige Gruppe ist seit mindestens 2019 aktiv und hat seither zahlreiche großangelegte Ransomware-Angriffe durchgeführt. Cl0p ist berüchtigt für fortschrittliche Erpressungstechniken und ausgefeilte Malware und hat bislang mehr als 500 Millionen US-Dollar erpresst. 

Laut der US-Cybersecurity and Infrastructure Security Agency (CISA) ist Cl0p „dafür bekannt, Malware häufig zu wechseln und globale Trends in der kriminellen Malware-Verteilung voranzutreiben“. Cl0p gilt als „einer der größten Phishing- und Malspam-Verteiler weltweit“ und hat seit Auftreten vor sechs Jahren Datenlecks bei über 8.000 Unternehmen ausgenutzt, darunter 3.000 Organisationen aus den USA. 

Was ist eine Zero-Day-Schwachstelle und wie hat Cl0p sie ausgenutzt?

Eine Zero-Day-Schwachstelle ist eine Sicherheitslücke in Software, Hardware oder Firmware, die den Entwicklern unbekannt ist und daher von Cyberkriminellen und anderen böswilligen Akteuren ausgenutzt werden kann. Wie das University of Tennessee Office of Innovative Technologies zutreffend beschreibt

„Eine Zero-Day-Schwachstelle ist wie eine versteckte Falltür in Ihrer bevorzugten App oder Ihrem Betriebssystem.“

Der Begriff „Zero-Day“ bezieht sich auf die Zeitspanne, in der Entwickler, IT-Sicherheitsexperten und andere beteiligte Parteien von der Sicherheitslücke wissen. Wie der Name andeutet, werden Zero-Day-Schwachstellen nicht aktiv durch die Entwickler behoben, weil ihnen die Lücken gar nicht bekannt sind. Diese Blindstelle ermöglicht es Hackern, die Schwachstelle auszunutzen, um sensible Daten zu stehlen und zu exfiltrieren, Malware einzuschleusen und weitere schädliche Aktivitäten zu begehen. 

Im vorliegenden Angriff auf die Oracle E-Business Suite hat Cl0p zwei bekannte Zero-Day-Schwachstellen ausgenutzt. Beide betreffen die Versionen 12.2.3 bis 12.2.14 der Oracle EBS. 

  • CVE-2025-61882: Diese CVE (Common Vulnerabilities and Exposures) ist eine Schwachstelle in der BI Publisher Integration in Oracles E-Business Software. Nach Angaben des britischen National Cyber Security Centre können nicht authentifizierte Hacker „speziell gestaltete HTTP-Anfragen an die betroffene Komponente senden, was zu einer vollständigen Übernahme des Systems führt“. CVE-2025-61882 hat Cl0p direkten Zugriff auf das Zielsystem verschafft. 
  • CVE-2025-21884: Diese Schwachstelle betrifft die Runtime-Benutzeroberfläche (UI) des Oracle Configurators. Nach Angaben der CISA erlaubt diese CVE „einem nicht authentifizierten Angreifer mit Netzwerkzugriff per HTTP, den Oracle Configurator zu kompromittieren“. Bei erfolgreicher Ausnutzung kann CVE-2025-21884 Hackern unbefugten Zugang zu kritischen oder sensiblen Daten verschaffen. 

Wie lange nutzt die Cyberkriminalitätsgruppe Oracle bereits aus?

Die Ransomware-Angriffe von Cl0p auf Oracle E-Business Software reichen bis Ende September zurück.

In den vergangenen zwei Monaten haben sich die Aktivitäten der Gruppe sukzessive ausgeweitet. Cl0p listet inzwischen über 100 gezielt attackierte Organisationen allein aus den Oracle EBS-Angriffen auf. Daten von 77 Unternehmen wurden dabei bereits über Torrent-Dateien oder Magnet-Links veröffentlicht. 

Welche Unternehmen waren vom Ransomware-Angriff betroffen?

Bis heute wurden angeblich über 100 Unternehmen durch Cl0ps Oracle EBS-Angriffe betroffen. Innerhalb eines 24-Stunden-Fensters zwischen dem 20. und 21. November hat die Gruppe laut Berichten weitere Verstöße ausgenutzt und Daten von 29 zusätzlichen Unternehmen exfiltriert. Diese Unternehmen haben Hauptsitze von den USA über Japan bis Saudi-Arabien und umfassen Konzerne mit Bewertungen in Höhe von Hunderten Milliarden Dollar. 

Laut Berichten am 20. November betroffene Unternehmen

  • Oracle
  • Michelin
  • Broadcom
  • The Estée Lauder Companies
  • Humana
  • Fruit of the Loom
  • Abbott Laboratories 
  • Grupo Bimbo
  • A10
  • Envoy
  • Canon
  • Greater Cleveland RTA
  • Frontrol
  • MAS Holdings
  • Trane Technologies
  • Treet Corp
  • University of Phoenix
  • L&L Products
  • Worley
  • Mazda 
  • Fleet Management Limited
  • Alshaya Group
  • Bechtel Corporation
  • WellBiz Brands, Inc.
  • Dooney & Bourke
  • Greenball
  • Sumitomo Chemical
  • Aljomaih Automotive Company (AAC)

Welche Maßnahmen werden zur Eindämmung der Cyberangriffe ergriffen?

Bereits seit Anfang Oktober hat Oracle zwei wichtige Sicherheitshinweise veröffentlicht, die die Nutzer auf die mit den Cl0p-Zero-Day-Angriffen in Verbindung stehenden Schwachstellen hinweisen. Der erste Sicherheitshinweis bezog sich auf CVE-2025-61882. „Diese Schwachstelle ist ohne Authentifizierung aus der Ferne ausnutzbar, d. h. sie kann über ein Netzwerk ohne Benutzername und Passwort ausgenutzt werden“, erklärte Oracle in seinem Sicherheitshinweis. „Oracle empfiehlt Kunden dringend, die in diesem Sicherheitshinweis bereitgestellten Updates so schnell wie möglich zu installieren.“ Das Update enthielt ein Dokument zur Patch-Verfügbarkeit und Anleitungen zur Installation. 

Oracle veröffentlichte einen zweiten Sicherheitshinweis zu CVE-2025-61884. Auch dieser Hinweis enthielt Dokumentation zur Patch-Verfügbarkeit und forderte die Nutzer nachdrücklich auf, die Updates zeitnah zu installieren, um eine schwerwiegende Sicherheitsverletzung oder andere negative Folgen zu vermeiden. 

Womit droht Cl0p, falls Unternehmen nicht nachgeben?

Laut Formulierungen in der von Mandiant, der zu Google gehörenden Cybersicherheitsfirma, veröffentlichten Cl0p-E-Mail liegt Cl0ps größter Hebel in den sensiblen, aus Oracle EBS exfiltrierten Daten. Die Cyberkriminalitätsgruppe warnt darin, dass Unternehmen, die das Lösegeld nicht zahlen, mit der Veröffentlichung ihrer Kundendaten rechnen müssen – sei es durch Verkauf an „Black Actors“, durch Veröffentlichung im Gruppenblog oder über Torrent-Tracker. 

Mandiant gab zudem eine wichtige Stellungnahme zum Vorgehen der Cyberkriminellen ab. Das Unternehmen erklärte: In früheren Kampagnen habe Cl0p „in der Regel mehrere Wochen gewartet, bevor Opferdaten veröffentlicht wurden“. Das deutet darauf hin, dass Unternehmen, die nun zur Zielscheibe wurden, im Durchschnitt einige Zeit haben, ehe Kundeninformationen in einer der von Cl0p typischerweise genutzten Formen veröffentlicht werden.

Erkennen Sie Ihre Lieferanten-Schwachstellen mit Z2Data

Für Hersteller von Originalgeräten (OEMs) und andere Unternehmen ist Lieferantenrisiko eine dynamische und unvorhersehbare Variable in der Lieferkette. Wie die Oracle-Zero-Day-Angriffe verdeutlichen, können schwerwiegende Folgen durch Störungen seitens der Lieferanten auftreten, und eine sofortige Wiedergutmachung ist nicht immer möglich. In den vergangenen sechs Wochen haben laut Berichten auch Fortune-500-Unternehmen wie Broadcom, Abbott Laboratories und Estée Lauder erhebliche Datenschutzverletzungen durch die Schwachstellen ihres Softwarelieferanten Oracle erlitten.

Die Anfälligkeit für Lieferanten-Schwachstellen muss nicht der Status quo sein. Unternehmen können eine Lieferkettenrisikomanagement-(SCRM)-Plattform nutzen, um sich proaktiv gegen potenzielle Risiken durch ihre Lieferanten zu wappnen.

Doch die Anfälligkeit für Lieferanten-Schwachstellen muss nicht der Status quo sein. Unternehmen können eine Lieferkettenrisikomanagement-(SCRM)-Plattform nutzen, um sich gezielt gegen potenzielle Risiken durch ihre Lieferanten zu schützen. Das SCRM-Tool Z2Data bietet einen umfassenden Risiko-Hub mit Bewertungen zu über 100.000 Lieferanten weltweit. Jede Risikoeinschätzung vereint 12 Faktoren zu einer multidimensionalen Bewertung der Bedrohungslage durch einen bestimmten Lieferanten. Durch Z2Data analysierte Risikofaktoren sind unter anderem:

  • Beschaffungsabhängigkeit
  • Auswirkung von Zöllen (Impact)
  • Handelskonformität
  • Geopolitisches Risiko
  • Fertigungsbetrieb
  • Finanzielle Gesundheit
  • Insolvenzrisiko
  • ESG Risiko
  • Cybersicherheit
  • Daten-Transparenz
  • Materialien
  • Risiko in der elektronischen Lieferkette

Mit dem Risk Hub von Z2Data erhalten Organisationen die Transparenz und Informationen, um Risiken proaktiv zu identifizieren, bevor sie zu irreversiblen Lieferkettenkrisen werden. Um mehr über Z2Data und die Möglichkeiten der Lieferantenrisikoanalyse zu erfahren, vereinbaren Sie eine kostenlose Demo mit unseren Produktexpert:innen.