Tutto quello che c’è da sapere sulla violazione dei dati Oracle

Il 20 novembre, un’organizzazione criminale informatica ha attaccato l’E-Business Suite di Oracle, esfiltrando dati da quasi 30 grandi aziende.

Tutto quello che c’è da sapere sulla violazione dei dati Oracle

Punti salienti dell’articolo:

  • L’organizzazione cybercriminale nota come Cl0p ha sfruttato una vulnerabilità zero-day nella Oracle E-Business Suite, causando violazioni critiche dei dati per decine di grandi aziende. Il gruppo ransomware richiede riscatti ingenti ad alcune delle più grandi imprese mondiali, tra cui, secondo le dichiarazioni, Broadcom, Estée Lauder, Mazda e Canon. 
  • Una vulnerabilità zero-day è una falla di sicurezza in un software, hardware o firmware sconosciuta agli sviluppatori e quindi suscettibile di essere sfruttata da cybercriminali e altri soggetti malevoli. 
  • Ad oggi, oltre 100 aziende sono state colpite dagli attacchi di Cl0p alla Oracle EBS. In un periodo di 24 ore, tra il 20 e il 21 novembre, il gruppo avrebbe sfruttato la violazione ed esfiltrato dati da 29 aziende. Queste società hanno sede in tutto il mondo, dagli Stati Uniti al Giappone all’Arabia Saudita, e includono numerose organizzazioni con valutazioni di centinaia di miliardi di dollari. 

A partire da giovedì 20 novembre e proseguendo il giorno successivo, il gruppo cybercriminale noto come Cl0p ha sfruttato una vulnerabilità zero-day nella Oracle E-Business Suite, causando gravi violazioni di dati per decine di grandi aziende. Il gruppo ransomware ha richiesto pagamenti elevati ad alcune delle più grandi imprese mondiali, tra cui, secondo le fonti, Broadcom, Estée Lauder, Mazda e Canon. In una email inviata da Cl0p e ottenuta dai media, i cybercriminali sottolineano di «non cercare potere politico né interessarsi di nessuna impresa». L’unico obiettivo dell’organizzazione è indurre le aziende colpite a «pagare la somma richiesta».

Chi è Cl0p?

Il gruppo cybercriminale che ha rivendicato gli attacchi ai clienti Oracle E-Business Suite si definisce Cl0p. Questo gruppo di lingua russa è attivo almeno dal 2019 e, dalla sua nascita, ha lanciato numerosi attacchi ransomware su larga scala. Cl0p è noto per le sue sofisticate tecniche di estorsione e per il malware avanzato, e ha già estorto con successo oltre 500 milioni di dollari. 

Secondo la Cybersecurity and Infrastructure Security Agency (CISA) statunitense, Cl0p «è noto per cambiare frequentemente malware e dettare tendenze globali nella distribuzione di malware criminali». Considerato come «uno dei maggiori distributori di phishing e malspam a livello mondiale», Cl0p ha sfruttato violazioni dei dati in oltre 8.000 aziende — tra cui 3.000 organizzazioni statunitensi — dal suo esordio sei anni fa. 

Cos’è una vulnerabilità zero-day e come l’ha sfruttata Cl0p?

Una vulnerabilità zero-day è una falla di sicurezza in un software, hardware o firmware sconosciuta agli sviluppatori, e quindi suscettibile di essere sfruttata da cybercriminali e altri soggetti malevoli. Come sottolinea efficacemente l’Office of Innovative Technologies dell’Università del Tennessee

«Una vulnerabilità zero-day è come una botola nascosta nella tua app o sistema operativo preferito.»

Il termine “zero-day” indica la quantità di tempo trascorsa da quando sviluppatori, esperti di cybersecurity e altri stakeholder sono venuti a conoscenza della falla di sicurezza. Come suggerisce il nome, le vulnerabilità zero-day non sono in fase di risoluzione o patching da parte degli sviluppatori proprio perché ignote. Questa cecità permette agli hacker di sfruttare la vulnerabilità per rubare ed esfiltrare dati sensibili, installare malware e attuare altre attività malevole per diversi obiettivi. 

Nel caso dell’attuale attacco a Oracle E-Business Suite, Cl0p ha sfruttato due vulnerabilità zero-day note, entrambe che interessano le versioni Oracle EBS dalla 12.2.3 alla 12.2.14. 

  • CVE-2025-61882: Questa CVE (common vulnerabilities and exposures) riguarda una vulnerabilità nell’integrazione di BI Publisher all’interno del software Oracle E-Business. Secondo il National Cyber Security Centre del Regno Unito, questa vulnerabilità permette ad hacker non autenticati di «inviare richieste HTTP appositamente costruite al componente interessato, compromettendo l’intero sistema». La CVE 2025-61882 ha dato a Cl0p accesso diretto al sistema target. 
  • CVE-2025-21884: Questa vulnerabilità interessa l’interfaccia utente (UI) Runtime di Oracle Configurator. Secondo la CISA, la CVE «consente a un attaccante non autenticato con accesso di rete via HTTP di compromettere Oracle Configurator». Se eseguita con successo, la CVE-2025-21884 può consentire agli hacker di accedere in modo non autorizzato a dati critici o sensibili. 

Da quanto tempo il gruppo cybercriminale sfrutta Oracle?

Gli attacchi ransomware di Cl0p su Oracle E-Business Software risalgono a fine settembre.

Negli ultimi due mesi, la portata delle attività del gruppo si è gradualmente estesa e ora Cl0p riporta oltre 100 organizzazioni colpite esclusivamente dagli attacchi a Oracle EBS. I dataset di 77 aziende sono stati invece pubblicati tramite file torrent o magnet link. 

Quali aziende sono state colpite dall’attacco ransomware?

Ad oggi, oltre 100 aziende sarebbero state colpite dagli attacchi di Cl0p alla Oracle EBS. In un arco di 24 ore tra il 20 e il 21 novembre, il gruppo avrebbe violato ed esfiltrato dati da altre 29 aziende. Queste società hanno sede dagli Stati Uniti al Giappone all’Arabia Saudita e includono alcune imprese valutate centinaia di miliardi di dollari. 

Aziende presumibilmente colpite nell’attacco ransomware del 20 novembre

  • Oracle
  • Michelin
  • Broadcom
  • The Estée Lauder Companies
  • Humana
  • Fruit of the Loom
  • Abbott Laboratories 
  • Grupo Bimbo
  • A10
  • Envoy
  • Canon
  • Greater Cleveland RTA
  • Frontrol
  • MAS Holdings
  • Trane Technologies
  • Treet Corp
  • University of Phoenix
  • L&L Products
  • Worley
  • Mazda 
  • Fleet Management Limited
  • Alshaya Group
  • Bechtel Corporation
  • WellBiz Brands, Inc.
  • Dooney & Bourke
  • Greenball
  • Sumitomo Chemical
  • Aljomaih Automotive Company (AAC)

Quali sono le iniziative per mitigare gli attacchi informatici?

A partire dall’inizio di ottobre, Oracle ha emesso due importanti alert di sicurezza, informando gli utenti delle vulnerabilità relative agli attacchi zero-day di Cl0p. Il primo alert ha affrontato la CVE-2025-61882. «Questa vulnerabilità può essere sfruttata da remoto senza autenticazione, quindi può essere sfruttata sulla rete senza necessità di username o password», ha dichiarato Oracle nel suo avviso di sicurezza. «Oracle raccomanda fortemente ai clienti di applicare quanto prima gli aggiornamenti predisposti.» L’aggiornamento includeva un documento sulla disponibilità della patch con istruzioni su come accedere e installare la patch di sicurezza. 

Oracle ha inviato un secondo alert di sicurezza per affrontare la CVE-2025-61884. Anche questo alert includeva la documentazione per la disponibilità della patch, esortando gli utenti ad applicare subito gli aggiornamenti per evitare gravi violazioni della sicurezza o altre conseguenze negative. 

Cosa minaccia di fare Cl0p se le aziende non pagano?

In base al contenuto della mail di Cl0p pubblicata da Mandiant, società di cybersecurity di Google, la principale leva di Cl0p è costituita dai dati sensibili esfiltrati da Oracle EBS. Nel messaggio, il gruppo minaccia che le aziende che non pagheranno il riscatto vedranno i propri dati cliente diffusi, tramite vendita agli «attori neri», pubblicazione sul blog del gruppo oppure attraverso tracker torrent. 

Mandiant ha inoltre rilasciato una dichiarazione importante riguardante il modus operandi del gruppo cybercriminale. La società di cybersecurity ha spiegato che, nelle precedenti campagne di Cl0p, «gli attori hanno solitamente atteso alcune settimane prima di pubblicare i dati delle vittime». Ciò fa pensare che le aziende colpite dall’ultimo attacco del gruppo abbiano un po’ di tempo prima che i dati dei clienti vengano pubblicati in uno dei formati storicamente impiegati da Cl0p.

Analizzare le vulnerabilità dei fornitori con Z2Data

Per i produttori di apparecchiature originali (OEM) e altre aziende, il rischio legato ai fornitori rappresenta una variabile dinamica e imprevedibile nella catena di approvvigionamento. Gli attacchi zero-day alla Oracle mettono in evidenza come le imprese possano subire gravi conseguenze a causa di interruzioni dei propri fornitori e come spesso una risposta immediata non sia possibile. Negli ultimi sei settimane, aziende Fortune 500 come Broadcom, Abbott Laboratories ed Estée Lauder hanno tutte subito importanti violazioni di dati in seguito alle vulnerabilità dei propri fornitori di software, in questo caso Oracle.

La vulnerabilità ai rischi dei fornitori non deve essere la norma. Con una piattaforma per la gestione del rischio della catena di approvvigionamento (Supply Chain Risk Management, SCRM) è possibile rafforzarsi contro i rischi potenziali legati ai fornitori.

Tuttavia, la vulnerabilità ai rischi dei fornitori non deve essere la norma. Con una piattaforma SCRM (Supply Chain Risk Management) è possibile rafforzarsi contro i rischi potenziali legati ai fornitori. Lo strumento SCRM Z2Data mette a disposizione un risk hub completo, con valutazioni di rischio su oltre 100.000 fornitori nel mondo. Ogni valutazione considera 12 fattori distinti, producendo così una valutazione multidimensionale della minaccia rappresentata da ciascun fornitore. I fattori di rischio analizzati da Z2Data includono:

  • Dipendenza dalle fonti
  • Impatto dei dazi
  • Trade Compliance
  • Rischio geopolitico
  • Attività produttive
  • Solidità finanziaria
  • Rischio di insolvenza
  • Rischio ESG (Environmental, Social, Governance)
  • Cybersecurity
  • Trasparenza dei dati
  • Materiali
  • Rischio sulla catena di approvvigionamento elettronica

Grazie al Risk Hub di Z2Data, le organizzazioni hanno la visibilità e l’intelligence necessarie per individuare i rischi in modo proattivo, prima che si trasformino in crisi irreversibili nella catena di approvvigionamento. Per scoprire di più su Z2Data e sulle sue capacità di analisi dei rischi dei fornitori, può prenotare una prova gratuita con uno dei nostri esperti di prodotto.