Spoločnosť Canon oficiálne potvrdila, že sa stala terčom rozsiahlej hackerskej kampane, ktorá využívala kritickú zero-day zraniteľnosť v Oracle E-Business Suite (EBS).
Útok organizovaný notoricky známym gangom ransomvéru Clop zasiahol desiatky veľkých organizácií po celom svete. Skupina zaradila Canon na svoju temnú webovú stránku, kde zverejnila doménu spoločnosti spolu s ďalšími údajnými obeťami.
Zatiaľ čo zoznam na stránke úniku vyvolal obavy z masívneho narušenia údajov, Canon objasnil, že dopad bol obmedzený. Kamerový a zobrazovací gigant uviedol, že kompromis sa dotkol len špecifického prostredia v rámci jednej z jeho dcérskych spoločností.
Podľa spoločnosti útočníci nezašifrovali širšiu sieť ani nenarušili globálne operácie, čo odlišuje tento incident od ničivého ransomvérového útoku Maze, ktorý Canon utrpel v roku 2020.
Bezpečnostný tím spoločnosti Canon zistil narušenie a okamžite izoloval postihnuté systémy. Vo vyhlásení zdieľanom s SecurityWeek spoločnosť zdôraznila, že narušenie sa nerozšírilo mimo webového servera prevádzkovaného dcérskou spoločnosťou Canon USA, Inc.
Rýchla kontrola pravdepodobne zabránila krádeži citlivých údajov zákazníkov alebo duševného vlastníctva, ktoré skupina Clop často hľadá na vydieranie.
„Potvrdili sme, že incident ovplyvnil iba webový server a už sme prijali bezpečnostné opatrenia a obnovili službu,“ uviedol Canon. „Okrem toho pokračujeme v ďalšom vyšetrovaní, aby sme sa uistili, že neexistuje žiadny iný vplyv.“
Oracle EBS Zero-Day Exploit
Zraniteľnosť použitá v tejto kampani je sledovaná ako CVE-2025-61882, kritická bezpečnostná chyba v balíku Oracle E-Business Suite. Tento zero-day umožnil neovereným útočníkom spustiť ľubovoľný kód na diaľku na zraniteľných serveroch.
Výskumníci v oblasti bezpečnosti zistili, že pridružené spoločnosti Clop, sledované ako Graceful Spider, začali túto chybu využívať už v auguste 2025 na osadenie webových shellov a exfiltráciu údajov skôr, ako Oracle mohol v októbri vydať opravu.
PodrobnostiPopisCVE IDCVE-2025-61882CVSS Skóre 9,8 (kritické) Ovplyvnený produktOracle E-Business Suite (EBS) Ovplyvnené verzie 12.2.3 až 12.2.14 Typ zraniteľnostiNeoverené vzdialené spustenie kódu (RCE) (nevyžaduje sa žiadna interakcia používateľa VectorNetwork)
Tento incident je súčasťou väčšej vlny vydierania v štýle „pohybuj sa“, kde Clop využil zero-day na porušenie takmer 30 organizácií. Namiesto okamžitého nasadenia šifrovacieho malvéru sa skupina zamerala na krádeže údajov a následne koncom septembra 2025 posielala vydieracie e-maily vedúcim pracovníkom.
Tieto e-maily hrozili únikom ukradnutých dokumentov, pokiaľ nebude zaplatené výkupné. Stránka skupiny na únik informácií v súčasnosti uvádza domény vrátane spoločnosti Canon, čo naznačuje, že tieto entity boli úspešne kompromitované počas fázy automatického využívania.
Indikátory kompromisu (IoC)
Indikátor TypeValueDescriptionIPv4 Address200.107.207.26Škodlivý príkaz a riadenie (C2) IPIPv4 Address185.181.60.11Zistený zdroj využívania IPSHA256 Hash76b6d36e04e367a2334c445b51e1ecce97e4c614e88dfb4f72b104ca0f31235dŠkodlivý zip archív obsahujúci exploit toolsSHA256 Hash6fd538e4a8e3493dda6f9fcdc96e814bdd14f3e2ef8aa46f0143bff34b882c1bPython skript používaný na využitie na strane serveraFile NameFileUtils.javaMalicious web shell downloader
Bezpečnostným tímom sa odporúča, aby tieto indikátory prehľadali vo svojich prostrediach Oracle EBS a okamžite použili oficiálne opravy, aby zabránili ďalšiemu neoprávnenému prístupu.
Sledujte nás na Google News, LinkedIn a X a získajte denné aktualizácie kybernetickej bezpečnosti. Kontaktujte nás a predstavte svoje príbehy.
