Canon подтвердила, что подверглась хакерской кампании Clop
Canon официально подтвердила, что стала жертвой хакерской кампании, связанной с программой-вымогателем Clop. Атака использовала критическую уязвимость в Oracle E-Business Suite (EBS), идентифицированную как CVE-2025-61882. По имеющимся данным, уязвимость позволяет злоумышленникам, не прошедшим проверку подлинности, удалённо выполнять произвольный код на скомпрометированных серверах.
Что произошло
По сообщению, злоумышленники использовали zero-day в Oracle EBS, что дало им возможность обойти механизмы аутентификации и получить удалённый доступ к системам Canon. Учитывая привязку кампании к программе-вымогателю Clop, это повышает риск шифрования данных и требования выкупа за их расшифровку.
Техническая суть уязвимости
Уязвимость CVE-2025-61882 описывается как серьёзный недостаток безопасности в Oracle E-Business Suite (EBS), позволяющий:
- выполнять удалённый произвольный код без аутентификации;
- получать несанкционированный доступ к серверу и прилегающим системам;
- внедрять вредоносное ПО, включая ransomware, либо осуществлять кражу конфиденциальных данных.
Почему это особенно опасно
Комбинация zero-day и связанной с ней активности Clop представляет собой серьёзную угрозу для организаций, использующих Oracle EBS:
- Oracle EBS часто содержит критические бизнес-приложения и чувствительные данные — компрометация приводит к значительным операционным и репутационным рискам;
- неаутентифицированное RCE даёт злоумышленнику мгновенный опорный пункт в сети;
- Clop известен механизмами шифрования и эксфильтрации данных, что увеличивает вероятность последующего вымогательства;
- наличие zero-day означает отсутствие готовых патчей на момент первой эксплуатации — окно риска особо велико.
Рекомендации для организаций
Организациям, использующим Oracle E-Business Suite (EBS), рекомендуется срочно предпринять следующие шаги:
- Приоритетное применение обновлений и патчей от Oracle сразу после выхода исправлений;
- временно изоляция или ограничение доступа к уязвимым инстансам EBS до установки патча;
- проведение полного инвентаря и оценки влияния — определить все инстансы EBS и связанные сервисы;
- активный мониторинг журналов доступа и сетевого трафика, поиск признаков lateral movement и эксфильтрации;
- задействование EDR/IDS/IPS и проведение threat hunting с использованием актуальных IoC (после их опубликования);
- проверка и восстановление резервных копий — убедиться, что бэкапы не зашифрованы и доступны offline;
- ротация привилегированных учетных данных и применение многофакторной аутентификации там, где возможно;
- взаимодействие с поставщиком (Oracle) и, при необходимости, с профильными CERT/командами реагирования;
- подготовка плана инцидент-реакции на случай обнаружения компрометации.
Последствия для отрасли
Эта кампания служит напоминанием о растущей изощрённости атак программ-вымогателей, которые всё активнее используют критические уязвимости, включая zero-day. Для организаций это означает необходимость не только своевременного управления патчами, но и постоянного повышения готовности к быстрому реагированию и глубокого мониторинга критических систем.
Вывод
Инцидент с Canon подчёркивает, что даже крупные компании с серьёзной ИТ-инфраструктурой уязвимы к целенаправленным кампаниям с использованием zero-day. Организациям, работающим с Oracle E-Business Suite (EBS), следует считать устранение CVE-2025-61882 приоритетной задачей и провести всестороннюю оценку безопасности, чтобы снизить риск успешной эксплуатации уязвимости и последующего воздействия ransomware.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
