{"id":76,"date":"2026-06-14T08:58:01","date_gmt":"2026-06-14T08:58:01","guid":{"rendered":"https:\/\/shattered.io\/no\/2026\/06\/14\/oracle-ebs-clop-brudd-2026\/"},"modified":"2026-06-14T16:45:47","modified_gmt":"2026-06-14T16:45:47","slug":"oracle-ebs-clop-brudd-2026","status":"publish","type":"post","link":"https:\/\/shattered.io\/no\/oracle-ebs-clop-brudd-2026\/","title":{"rendered":"Cl0p-bruddet: Oracle EBS, CVSS 9.8, 29 ofre [2026]"},"content":{"rendered":"\n

Det begynte med en e-post i innboksen til toppledere verden over. Avsenderen hevdet \u00e5 sitte p\u00e5 sensitive forretningsdata, stj\u00e5let fra selskapets Oracle E-Business Suite. Betal, eller dataene havner p\u00e5 nett. Bak truslene sto utpressingsmerket Cl0p, og s\u00e5rbarheten de hadde brukt var en nulldag med h\u00f8yest tenkelige alvorlighetsgrad. CVE-2025-61882<\/strong> fikk en CVSS-score p\u00e5 9.8 og lar en angriper kj\u00f8re kode uten \u00e5 logge inn i det hele tatt. Innen midten av november 2025 hadde Cl0p navngitt 29 ofre p\u00e5 lekkasjesiden sin, deriblant Harvard University og The Washington Post.<\/p>\n\n\n\n

Dette er anatomien til et moderne masseutpressingsangrep, og det treffer en programvarekategori f\u00e5 snakker om, men som driver l\u00f8nn, regnskap og innkj\u00f8p i tusenvis av store virksomheter, ogs\u00e5 i Norge og Norden. Denne analysen g\u00e5r gjennom hva som skjedde med Oracle E-Business Suite, hvordan s\u00e5rbarheten fungerer, hvem som st\u00e5r bak, og hva nordiske virksomheter b\u00f8r gj\u00f8re n\u00e5.<\/p>\n\n\n\n

Dette skjedde: Cl0p utnyttet en nulldagss\u00e5rbarhet i Oracle EBS<\/h2>\n\n\n\n

I begynnelsen av oktober 2025 ble det offentlig kjent at utpressingsgruppen Cl0p hadde utnyttet en tidligere ukjent s\u00e5rbarhet i Oracle E-Business Suite (EBS), Oracles store pakke for ERP, \u00f8konomi og forsyningskjede. Angrepet fulgte et m\u00f8nster Cl0p har perfeksjonert: finn ett hull i en bedriftsprogramvare som mange organisasjoner eksponerer mot internett, stjel data i stor skala, og press deretter ofrene for penger gjennom e-post og en lekkasjeside.<\/p>\n\n\n\n

Google Threat Intelligence Group (GTIG) og Mandiant beskrev kampanjen som en storstilt utpressingsoperasjon utf\u00f8rt av en finansielt motivert akt\u00f8r som opererer under CL0P-merket. If\u00f8lge Googles analyse begynte utpressingsmeldingene til ofre 29. september 2025. S\u00e5rbarheten ble formelt tildelt identifikatoren CVE-2025-61882, og Oracle bekreftet at den lot seg utnytte over nettverk uten autentisering.<\/p>\n\n\n\n

Det som gj\u00f8r hendelsen alvorlig er kombinasjonen av tre faktorer. For det f\u00f8rste rammer den selve ryggraden i forretningsdriften: Oracle EBS holder p\u00e5 personaldata, leverand\u00f8ravtaler, fakturaer og finansielle poster. For det andre var det en nulldag, alts\u00e5 et hull uten tilgjengelig oppdatering p\u00e5 utnyttelsestidspunktet. For det tredje sto en gruppe bak som har bevist gang p\u00e5 gang at den kan industrialisere slike angrep mot hundrevis av m\u00e5l samtidig.<\/p>\n\n\n\n

CVE-2025-61882: en CVSS 9.8 pre-auth RCE forklart<\/h2>\n\n\n\n

CVE-2025-61882 er det tekniske hjertet i hele saken. S\u00e5rbarheten ligger i Oracle Concurrent Processing-komponenten i Oracle E-Business Suite og har en CVSS 3.1-score p\u00e5 9.8, klassifisert som kritisk. Vektoren AV:N\/AC:L\/PR:N\/UI:N\/S:U\/C:H\/I:H\/A:H forteller hele historien p\u00e5 kort form: angrepet kan utf\u00f8res over nettverk (AV:N), krever lav kompleksitet (AC:L), ingen rettigheter (PR:N) og ingen brukerinteraksjon (UI:N), med full p\u00e5virkning p\u00e5 konfidensialitet, integritet og tilgjengelighet.<\/p>\n\n\n\n

Oversatt til klartekst: en angriper p\u00e5 internett kan ta full kontroll over en s\u00e5rbar Oracle EBS-installasjon uten \u00e5 kjenne et eneste passord. Det er denne kombinasjonen, fjernutnyttelse uten autentisering som gir kj\u00f8ring av vilk\u00e5rlig kode, som sikkerhetsforskere omtaler som det verste utgangspunktet et forsvar kan ha. Ber\u00f8rte versjoner spenner fra 12.2.3 til 12.2.14.<\/p>\n\n\n\n

Hva angrepskjeden faktisk gj\u00f8r<\/h3>\n\n\n\n

CVE-2025-61882 er ikke ett enkelt programmeringsfeilsteg, men en kjede av svakheter som lenkes sammen. Sikkerhetsanalyser fra blant andre Rapid7 og Censys beskriver en pre-auth RCE-kjede som utnytter teknikker som server-side request forgery (SSRF), path traversal, XML External Entity (XXE), CRLF-injeksjon og omg\u00e5else av autentisering. Hvert ledd i kjeden er en kjent klasse av webfeil, men satt sammen gir de en angriper en rett vei fra det \u00e5pne internettet og inn til kodekj\u00f8ring p\u00e5 serveren.<\/p>\n\n\n\n

Censys m\u00e5lte tidlig i oktober 2025 at 2 043 Oracle E-Business Suite-instanser var direkte tilgjengelige fra internett. Det er det eksponerte angrepsflatebildet: hver av disse var et potensielt m\u00e5l s\u00e5 lenge oppdateringen ikke var p\u00e5 plass. Tallet illustrerer et bredere problem, nemlig at tunge forretningssystemer som egentlig h\u00f8rer hjemme bak flere lag med segmentering, ofte ender opp eksponert for nettet av praktiske grunner.<\/p>\n\n\n\n

CVE-2025-61884 og de andre hullene<\/h3>\n\n\n\n

CVE-2025-61882 fikk mest oppmerksomhet, men den var ikke alene. Kort tid etter ble CVE-2025-61884 offentliggjort, en separat s\u00e5rbarhet i Oracle E-Business Suite (knyttet til Configurator-komponenten) med CVSS-score 7.5. Ogs\u00e5 denne kan utnyttes eksternt uten autentisering og kan gi uautorisert tilgang til konfigurasjonsdata. Den inng\u00e5r etter tilgjengelige kilder ikke i samme eksploit-kjede som 61882, men understreker at angrepsflaten i EBS var bredere enn ett enkelt hull.<\/p>\n\n\n\n

CVE<\/th>CVSS 3.1<\/th>Komponent<\/th>Type<\/th>Krav<\/th><\/tr><\/thead>
CVE-2025-61882<\/td>9.8 (kritisk)<\/td>Concurrent Processing<\/td>Pre-auth RCE<\/td>Ingen autentisering<\/td><\/tr>
CVE-2025-61884<\/td>7.5 (kritisk)<\/td>Configurator<\/td>Uautorisert datatilgang<\/td>Ingen autentisering<\/td><\/tr><\/tbody><\/table>
Kjernes\u00e5rbarhetene i Oracle E-Business Suite, oktober 2025. Kilde: Oracle Security Alert og NVD.<\/figcaption><\/figure>\n\n\n\n

Tidslinje: fra eksploit-salg i juni til utpressing i oktober<\/h2>\n\n\n\n

Hendelsesforl\u00f8pet rundt Oracle E-Business Suite-bruddet strekker seg over flere m\u00e5neder, og det viser hvor lenge en avansert akt\u00f8r kan operere f\u00f8r et angrep blir synlig. Allerede i juni 2025 ble det if\u00f8lge sikkerhetsrapportering annonsert et Oracle EBS-nulldagseksploit til salgs p\u00e5 et kriminelt forum for rundt 70 000 dollar. Den brede utpressingsb\u00f8lgen traff f\u00f8rst virksomhetene utover h\u00f8sten.<\/p>\n\n\n\n

Dato<\/th>Hendelse<\/th><\/tr><\/thead>
Juni 2025<\/td>Et Oracle EBS-nulldagseksploit annonseres til salgs for ca. 70 000 dollar p\u00e5 kriminelt forum (rapportert)<\/td><\/tr>
August 2025<\/td>Cl0p-relatert aktivitet mot Oracle EBS spores tilbake til denne perioden<\/td><\/tr>
29. september 2025<\/td>Cl0p begynner \u00e5 sende utpressings-e-poster til ofre, if\u00f8lge Google Threat Intelligence Group<\/td><\/tr>
4. oktober 2025<\/td>Oracle publiserer sikkerhetsvarsel og en hasteoppdatering for CVE-2025-61882<\/td><\/tr>
6. oktober 2025<\/td>CISA legger CVE-2025-61882 inn i katalogen over kjente utnyttede s\u00e5rbarheter (KEV)<\/td><\/tr>
Oktober 2025<\/td>CVE-2025-61884 (CVSS 7.5) offentliggj\u00f8res som en ytterligere EBS-s\u00e5rbarhet<\/td><\/tr>
17. november 2025<\/td>Cl0p har navngitt 29 p\u00e5st\u00e5tte ofre p\u00e5 lekkasjesiden, if\u00f8lge offentlig rapportering<\/td><\/tr>
Januar 2026<\/td>Utpressingskrav fra kampanjen fortsetter \u00e5 n\u00e5 ofre m\u00e5neder etter f\u00f8rste innbrudd<\/td><\/tr><\/tbody><\/table>
Tidslinje for Oracle E-Business Suite-kampanjen. Kilder: Google Cloud, Oracle, CISA og offentlig sikkerhetsrapportering.<\/figcaption><\/figure>\n\n\n\n

Hvem er Cl0p, og hvorfor masseutnyttelse fungerer<\/h2>\n\n\n\n

Cl0p (ogs\u00e5 skrevet Clop) er ingen nykommer. Gruppen, som av flere etterretningsmilj\u00f8er er knyttet til russisktalende kriminelle nettverk, har i \u00e5revis spesialisert seg p\u00e5 det som kalles masseutnyttelse av filoverf\u00f8rings- og forretningsprogramvare. Forretningsmodellen er enkel og brutalt effektiv: i stedet for \u00e5 bryte seg inn i ett selskap av gangen, finner gruppen en enkelt s\u00e5rbarhet i et produkt som mange organisasjoner bruker, og h\u00f8ster deretter data fra alle de n\u00e5r frem til p\u00e5 kort tid.<\/p>\n\n\n\n

Et viktig trekk ved Oracle EBS-kampanjen, og ved flere av Cl0ps nyere angrep, er at gruppen ikke n\u00f8dvendigvis krypterer ofrenes systemer slik tradisjonell l\u00f8sepengevirus gj\u00f8r. I stedet stjeler de data og bruker trusselen om publisering som pressmiddel. Det gj\u00f8r angrepet vanskeligere \u00e5 oppdage i sanntid, fordi systemene fortsetter \u00e5 virke som normalt mens dataene allerede er ute av huset. For et offer betyr det ofte at den f\u00f8rste indikasjonen p\u00e5 et brudd er en e-post fra utpresserne selv.<\/p>\n\n\n\n

Denne dataekstorteringen uten kryptering er en utvikling resten av trusselbildet beveger seg mot. N\u00e5r selve l\u00e5singen av filer faller bort, forsvinner ogs\u00e5 et av de tydeligste varslene et offer historisk har hatt. Det legger desto st\u00f8rre vekt p\u00e5 \u00e5 oppdage unormal datautf\u00f8rsel og uautorisert tilgang f\u00f8r utpresseren rekker \u00e5 sende sin f\u00f8rste melding.<\/p>\n\n\n\n

29 navngitte ofre: Harvard, Washington Post og flere<\/h2>\n\n\n\n

Innen 17. november 2025 hadde Cl0p navngitt 29 p\u00e5st\u00e5tte ofre p\u00e5 lekkasjesiden sin, if\u00f8lge offentlig rapportering. Det er verdt \u00e5 v\u00e6re presis med spr\u00e5ket her, fordi det er forskjell p\u00e5 \u00e5 bli oppf\u00f8rt p\u00e5 en lekkasjeside, \u00e5 bli omtalt i media og selv \u00e5 bekrefte et brudd. Tabellen under skiller mellom disse niv\u00e5ene for et utvalg av de mest omtalte navnene.<\/p>\n\n\n\n

Organisasjon<\/th>Status i offentlig rapportering<\/th>Sektor<\/th><\/tr><\/thead>
Harvard University<\/td>Oppf\u00f8rt p\u00e5 lekkasjeside, bekreftet \u00e5 v\u00e6re rammet<\/td>Utdanning<\/td><\/tr>
The Washington Post<\/td>Oppf\u00f8rt p\u00e5 lekkasjeside, bekreftet \u00e5 v\u00e6re angrepet<\/td>Media<\/td><\/tr>
Logitech<\/td>Oppf\u00f8rt\/rapportert p\u00e5 lekkasjeside<\/td>Teknologi\/maskinvare<\/td><\/tr>
Cox Enterprises<\/td>Oppf\u00f8rt\/rapportert p\u00e5 lekkasjeside<\/td>Telekom\/media<\/td><\/tr>
Schneider Electric<\/td>Oppf\u00f8rt\/rapportert p\u00e5 lekkasjeside<\/td>Industri\/energi<\/td><\/tr><\/tbody><\/table>
Utvalgte navn knyttet til Oracle EBS-kampanjen. Status gjengir offentlig rapportering, ikke n\u00f8dvendigvis bekreftelse fra hver organisasjon. Kilde: offentlig sikkerhetsrapportering.<\/figcaption><\/figure>\n\n\n\n

At b\u00e5de et eliteuniversitet, en av verdens mest kjente avisredaksjoner og et globalt industrikonsern ender p\u00e5 samme liste sier noe om hvor vilk\u00e5rlig masseutnyttelse rammer. Cl0p velger ikke ofre etter bransje eller geografi. De velger etter hvem som tilfeldigvis kj\u00f8rte en s\u00e5rbar versjon av programvaren, eksponert mot nettet, i det vinduet hvor eksploitet var aktivt. Det er en p\u00e5minnelse om at risikoen ikke handler om hvor interessant du er som m\u00e5l, men om hvilke systemer du eksponerer.<\/p>\n\n\n\n

Hva Google Threat Intelligence og Mandiant sier<\/h2>\n\n\n\n

Den tydeligste tilskrivingen i saken kom fra Google. Google Threat Intelligence Group og Mandiant knyttet aktiviteten til CL0P-merket og beskrev en finansielt motivert akt\u00f8r bak en storstilt utpressingskampanje. Charles Carmakal, teknologidirekt\u00f8r (CTO) i Mandiant ved Google Cloud, uttalte offentlig at \u00abClop har sendt utpressings-e-poster til flere ofre siden i forrige mandag\u00bb<\/em>, en bekreftelse p\u00e5 at e-postb\u00f8lgen var i full gang da angrepet ble kjent.<\/p>\n\n\n\n

Googles analyse la ogs\u00e5 til en nyanse som er viktig for risikovurderingen: p\u00e5 publiseringstidspunktet hadde GTIG enn\u00e5 ikke observert ofre fra kampanjen p\u00e5 Cl0ps lekkasjeside, og selskapet p\u00e5pekte at Cl0p ofte venter uker f\u00f8r de publiserer stj\u00e5lne data. Det betyr at antallet kjente ofre i de f\u00f8rste ukene nesten alltid undervurderer det reelle omfanget. M\u00f8nsteret med forsinket publisering er en del av pressetaktikken: jo lenger et offer lever i uvisshet, desto sterkere er insentivet til \u00e5 betale.<\/p>\n\n\n\n

At det er nettopp Mandiant og Google som leder analysen er ikke tilfeldig. Etter at Google styrket sin posisjon i skysikkerhetsmarkedet, har konsernets trusseletterretning blitt en av de mest siterte stemmene n\u00e5r store hendelser bryter. Det gir kampanjen ekstra synlighet, men reiser ogs\u00e5 sp\u00f8rsm\u00e5l om hvor konsentrert markedet for trusseletterretning er i ferd med \u00e5 bli.<\/p>\n\n\n\n

Oracles respons og CISAs KEV-oppf\u00f8ring<\/h2>\n\n\n\n

Oracle reagerte med \u00e5 publisere et eget sikkerhetsvarsel og en hasteoppdatering for CVE-2025-61882 den 4. oktober 2025, utenom den ordin\u00e6re kvartalsvise oppdateringssyklusen. At en leverand\u00f8r slipper en patch utenfor plan er i seg selv et signal om alvoret: det skjer typisk bare n\u00e5r en s\u00e5rbarhet allerede utnyttes aktivt i felten.<\/p>\n\n\n\n

To dager senere, 6. oktober 2025, la den amerikanske cybersikkerhetsmyndigheten CISA CVE-2025-61882 inn i sin Known Exploited Vulnerabilities-katalog (KEV). KEV-oppf\u00f8ring er ikke bare symbolsk. For amerikanske f\u00f8derale etater utl\u00f8ser den en juridisk frist for \u00e5 oppdatere, og for resten av verden fungerer katalogen som en de facto prioriteringsliste: hvis en s\u00e5rbarhet st\u00e5r p\u00e5 KEV, vet du at den ikke er teoretisk, men aktivt misbrukt akkurat n\u00e5.<\/p>\n\n\n\n

For virksomheter som kj\u00f8rer Oracle EBS er r\u00e5det entydig. Installer Oracles oktober-oppdateringer umiddelbart, kartlegg om EBS-instanser er eksponert mot internett, og let etter tegn p\u00e5 kompromittering bakover i tid, ettersom angrepet kan ha skjedd uker f\u00f8r utpressings-e-posten kom. Det siste punktet er avgj\u00f8rende: en oppdatering stopper fremtidig utnyttelse, men fjerner ikke data som allerede er stj\u00e5let.<\/p>\n\n\n\n

Konsekvenser for Norge og Norden<\/h2>\n\n\n\n

Ingen av de 29 f\u00f8rste navngitte ofrene var norske eller nordiske, men det gir ingen grunn til \u00e5 puste lettet ut. Oracle E-Business Suite er utbredt i store nordiske konsern, offentlig sektor og industriselskaper som bruker pakken til \u00f8konomi, l\u00f8nn og innkj\u00f8p. Eksponeringen Censys m\u00e5lte globalt, over to tusen internett-tilgjengelige instanser, omfatter ogs\u00e5 europeiske systemer. Risikoen for nordiske virksomheter er derfor reell, ikke hypotetisk.<\/p>\n\n\n\n

For norske virksomheter kommer hendelsen i en periode hvor regelverket strammes inn. Med innf\u00f8ringen av NIS2-direktivet og den norske digitalsikkerhetsloven f\u00e5r tusenvis av virksomheter nye krav til risikostyring og varsling av alvorlige hendelser. Et brudd via Oracle EBS som lekker personopplysninger vil i tillegg utl\u00f8se meldeplikt etter personvernforordningen (GDPR). Kombinasjonen av aktiv utnyttelse, sensitive data og strengere rapporteringskrav gj\u00f8r ERP-sikkerhet til et styrerommstema, ikke bare et IT-anliggende.<\/p>\n\n\n\n

Det nordiske trusselbildet har dessuten allerede vist seg s\u00e5rbart det siste \u00e5ret, fra statlig tilskrevne angrep mot kritisk infrastruktur til en jevn str\u00f8m av cyberhendelser p\u00e5 tvers av regionen. Oracle EBS-saken f\u00f8yer seg inn i et m\u00f8nster der den svakeste lenken ofte er ett eksponert, uoppdatert forretningssystem som ingen helt har ansvaret for.<\/p>\n\n\n\n

Markedseffekt: ERP-sikkerhet under press<\/h2>\n\n\n\n

Cl0p-kampanjen mot Oracle E-Business Suite forsterker en trend sikkerhetsbransjen har sett bygge seg opp i flere \u00e5r: angriperne flytter fokus fra endepunkter og e-post til de store, tunge forretningsapplikasjonene. ERP-systemer, filoverf\u00f8ringsverkt\u00f8y og andre sentrale plattformer har lenge v\u00e6rt underprioritert i sikkerhetsbudsjettene, nettopp fordi de oppleves som stabile og \u00abinterne\u00bb. Cl0p har gjort det til en forretningsmodell \u00e5 bevise det motsatte.<\/p>\n\n\n\n

Markedsmessig peker dette mot \u00f8kt ettersp\u00f8rsel etter angrepsflateh\u00e5ndtering (ASM), kontinuerlig kartlegging av eksponerte tjenester og raskere oppdateringssykluser for forretningskritisk programvare. For leverand\u00f8rer som Oracle \u00f8ker presset for \u00e5 levere sikkerhetsoppdateringer hyppigere enn den tradisjonelle kvartalsvise rytmen, s\u00e6rlig n\u00e5r en nulldag allerede utnyttes. For kj\u00f8perne betyr det at sikkerhet i \u00f8kende grad blir et kriterium ved valg og fornyelse av ERP-kontrakter.<\/p>\n\n\n\n

If\u00f8lge Reuters, som siterer sikkerhetsselskapet Halcyon, har l\u00f8sepengekrav i Oracle EBS-kampanjen ligget p\u00e5 opptil 50 millioner dollar. Selv om hvert enkelt krav forhandles og sjelden bekreftes offentlig, illustrerer st\u00f8rrelsesordenen hvorfor masseutpressing er blitt en s\u00e5 l\u00f8nnsom forretning. N\u00e5r \u00e9n s\u00e5rbarhet kan gi tilgang til titalls organisasjoner samtidig, blir avkastningen per utviklet eksploit enorm.<\/p>\n\n\n\n

Slik beskytter du Oracle EBS mot utnyttelse<\/h2>\n\n\n\n

Forsvaret mot denne typen angrep handler om tre ting: patch raskt, reduser eksponering og oppdag datautf\u00f8rsel. Sjekklisten under oppsummerer tiltakene sikkerhetsmilj\u00f8ene har anbefalt etter Oracle EBS-bruddet.<\/p>\n\n\n\n