Impatto Sistemico

Critico (75.12)

Sintesi

A seguito delle indagini avviate da Oracle in merito a presunte attività malevole mirate a istanze di E-Business Suite esposte su Internet, il vendor ha recentemente individuato una vulnerabilità, con gravità “critica”, di tipo zero-day che, qualora sfruttata, potrebbe consentire l’esecuzione di codice arbitrario sui sistemi target.

Descrizione e potenziali impatti

A seguito delle indagini avviate da Oracle in merito a presunte attività malevole mirate a istanze di E-Business Suite esposte su Internet, il vendor ha recentemente individuato una vulnerabilità che interessa la componente BI Publisher Integration, strumento per la creazione, formattazione e distribuzione di report.

Tale vulnerabilità – identificata tramite la CVE-2025-61882, di tipo “Zero-Auth Remote Code Execution” e con score CVSS v3.x pari a 9.8 – potrebbe consentire, tramite richieste HTTP opportunamente predisposte indirizzate verso l’interfaccia BI Publisher/Concurrent Processing, l’esecuzione di codice arbitrario lato server senza necessità di autenticazione.

Prodotti e versioni affette

Oracle E-Business Suite – componente BI Publisher Integration:

• 12.2.x, dalla versione 12.2.3 alla 12.2.14

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di applicare tempestivamente gli aggiornamenti disponibili seguendo le indicazioni del bollettino di sicurezza riportato nella sezione Riferimenti.

Inoltre, si suggerisce di valutare l’implementazione delle seguenti azioni di mitigazione aggiuntive:

• ridurre al minimo l’esposizione di rete per tutte le istanze EBS;
• instradare l’accesso agli endpoint EBS tramite VPN o reverse proxy, qualora l’accesso da remoto risulti necessario;
• configurare WAF/IDS/IPS per rilevare e bloccare eventuali richieste sospette verso gli endpoint di BI Publisher / Concurrent Processing;
• ruotare le credenziali e monitorare attentamente i log alla ricerca di possibili attività sospette.

Infine, si raccomanda di valutare l’implementazione sui propri apparati di sicurezza degli Indicatori di Compromissione (IoC) [1] forniti dal vendor nell’apposito bollettino di sicurezza riportato nella sezione Riferimenti.

[1] Per definizione, non tutti gli indicatori di compromissione sono malevoli. Questo CSIRT non ha alcuna responsabilità per l’attuazione di eventuali azioni proattive (es. inserimento degli IoC in blocklist) relative agli indicatori forniti. Le informazioni contenute in questo documento rappresentano la migliore comprensione della minaccia al momento del rilascio.