CEVIU Logo
Voltar

Michelin Confirma Violação de Dados Ligada a Ataque ao Oracle EBS

Aprofundamento CEVIU

Aprofundamento

A Michelin foi atingida por um ataque que explorou a CVE-2025-61882, uma vulnerabilidade zero-day crítica no Oracle E-Business Suite com CVSS 9,8, quase o máximo de severidade. A falha está no módulo BI Publisher Integration do Concurrent Processing e permite execução remota de código sem autenticação. Ataques reais começaram em 9 de agosto de 2025, mas sinais de exploração foram detectados desde 10 de julho, semanas antes do patch emergencial da Oracle, lançado só em 4 de outubro. A Michelin diz que apenas dados não sensíveis foram acessados, mas metadados dos 315 GB vazados pelo Cl0p confirmam origem em ambientes Oracle EBS, o que levanta dúvidas sobre a extensão real da exposição.

O ataque faz parte de uma campanha coordenada do Cl0p (vinculado ao FIN11) que já atingiu mais de 100 empresas usando Oracle EBS. Diferente de ataques anteriores com ransomware, essa operação prioriza vazamento em massa: Madison Square Garden teve 210 GB vazados, Logitech, 1,8 TB. Há ainda relatos de que o Cl0p obteve a zero-day de um grupo rival, os Scattered Lapsus$ Hunters, sugerindo um mercado subterrâneo de exploits para sistemas legados críticos.

Por que isso importa

Empresas que ainda executam Oracle EBS, especialmente nas versões 12.2.3 a 12.2.14, correm risco imediato se não aplicaram os patches de outubro de 2025 ou não isolaram o módulo BI Publisher Integration. A gravidade não está só na pontuação CVSS: é a combinação de 'sem autenticação' + 'execução remota' + 'presença massiva em ambientes financeiros e de supply chain' que torna essa zero-day particularmente perigosa. Além disso, o padrão do Cl0p mostra que a ausência de criptografia ou segmentação adequada nesses sistemas transforma dados 'não sensíveis' em peças-chave para reconhecimento de infraestrutura, movimentação lateral e futuras campanhas de extorsão direcionadas.

Linha do tempo

  1. Atividades suspeitas relacionadas à CVE-2025-61882 registradas pela primeira vez

  2. Exploração em larga escala da vulnerabilidade começa

  3. Oracle lança patch emergencial para a CVE-2025-61882

  4. Oracle publica patch adicional para versões específicas do EBS

  5. Cl0p inicia campanha de extorsão com e-mails para executivos de empresas afetadas

  6. Michelin confirma violação de dados ligada à exploração da CVE-2025-61882

Perguntas frequentes

O que é a CVE-2025-61882 e por que ela é tão perigosa?

É uma falha crítica no Oracle EBS que permite execução remota de código por um invasor não autenticado. Sua pontuação CVSS é 9,8/10 porque exige pouca interação do atacante e afeta um componente central (BI Publisher Integration) usado em processos financeiros e operacionais. Versões 12.2.3 a 12.2.14 estão expostas se não receberam os patches de outubro de 2025.

A Michelin foi realmente afetada ou é só propaganda do Cl0p?

A Michelin confirmou o acesso não autorizado, mas limitou o impacto a 'dados não sensíveis'. No entanto, análises independentes dos arquivos vazados, incluindo estrutura de diretórios e metadados, indicam que parte dos 315 GB tem origem real em seus servidores Oracle EBS. Isso sugere que a avaliação interna pode subestimar o alcance da coleta.

Por que o Cl0p está focando no Oracle EBS agora?

O Oracle EBS é um alvo estratégico: está presente em centenas de grandes empresas globais, roda há décadas sem atualizações completas e costuma ter interfaces expostas à internet. O Cl0p já usou esse mesmo modus operandi contra Accellion, MOVEit e GoAnywhere, sempre explorando zero-days em softwares legados com alta adoção e baixa taxa de correção.

Quais são as primeiras ações práticas para quem usa Oracle EBS?

Verifique imediatamente se os patches de 4 e 11 de outubro de 2025 foram aplicados nas versões 12.2.3 a 12.2.14. Desative ou isole o módulo BI Publisher Integration se não for essencial. Revise logs de acesso ao Concurrent Processing e monitore tráfego suspeito para endpoints do BI Publisher. Não confie apenas em firewalls: a exploração acontece em nível de aplicação.

Fontes

Avalie este artigo:
Compartilhar:
Categoria
CEVIU Segurança da Informação
Publicado
12 de março de 2026
Editoria
CEVIU Segurança da Informação

Quer receber mais sobre CEVIU Segurança da Informação?

Conteúdo curado diariamente, direto no seu e-mail.

Conteúdo curado diariamenteDiversas categoriasCancele quando quiser