Vol. 2 (abr. 2026) | Pp. 187–188 | ISSN 3086-6103
Alerta: Falha crítica no Oracle EBS é explorada em ataques e atinge instituições como Harvard
Pesquisadores e órgãos de resposta a incidentes confirmaram exploração ativa de uma falha crítica no Oracle E-Business Suite, ampliando a urgência para ambientes corporativos que dependem da plataforma. O ponto mais sensível é que o problema pode ser explorado remotamente e sem autenticação, o que reduz drasticamente a barreira de entrada para atacantes.
A vulnerabilidade ficou conhecida publicamente após relatos de exploração em ataques reais, incluindo campanhas associadas a grupos de extorsão e roubo de dados. A Oracle lançou correções emergenciais e, em seguida, a CISA adicionou a falha ao catálogo de vulnerabilidades exploradas ativamente.
Alcance
O Oracle E-Business Suite é amplamente usado como núcleo de processos corporativos, o que torna a falha especialmente perigosa em ambientes com dados sensíveis e fluxos financeiros ou operacionais críticos. As versões afetadas incluem a linha 12.2.3 até 12.2.14, e a correção exige atenção adicional porque o patch depende de atualizações anteriores já aplicadas no ambiente.
O gráfico abaixo mostra a distribuição diária de instâncias expostas de Oracle EBS por região, destacando predominância consistente da América do Norte e da Ásia ao longo do período observado.

Impacto real da exploração em Havard
A investigação de Harvard ilustra o impacto concreto da campanha, a universidade afirmou que o incidente parece ter afetado apenas uma pequena unidade administrativa, mas confirmou que o evento está ligado a uma zero-day no Oracle E-Business Suite e que o patch foi aplicado assim que a Oracle o liberou. O caso reforça o padrão de extorsão do Clop, que combina exploração silenciosa com ameaça pública de vazamento para pressionar as vítimas.
Vetor de Ataque
O vetor de ataque, nesse caso, é especialmente preocupante porque a exploração ocorre pela rede e sem autenticação. Isso significa que o atacante não precisa de credenciais válidas nem de interação do usuário; basta conseguir alcançar a interface exposta do Oracle E-Business Suite para iniciar a cadeia de exploração.
Na prática, esse tipo de vetor costuma seguir uma lógica em etapas:
-
Alcance do serviço exposto.
O atacante identifica instâncias do EBS acessíveis pela internet ou por redes mal segmentadas. -
Exploração da falha inicial.
A vulnerabilidade permite contornar a proteção esperada do serviço, acessar uma função sensível ou abusar de um parâmetro mal validado. -
Ação pós-exploração.
A partir desse ponto, o invasor pode buscar execução de comandos, acesso a dados, roubo de sessão ou movimentação lateral, dependendo do impacto específico da falha.
O que torna esse vetor mais grave é a combinação de três fatores: superfície exposta, ausência de autenticação e uso ativo em ataques reais. Em plataformas como Oracle EBS, isso tende a ter impacto alto porque o sistema normalmente concentra dados financeiros, administrativos e operacionais.
Mitigação
A recomendação imediata é aplicar as atualizações disponibilizadas pela Oracle e validar se todas as dependências de patching foram satisfeitas antes da correção principal. Organizações que operam EBS exposto à internet devem tratar a situação como incidente potencial, com revisão de logs, hunting por IoCs e verificação de acesso indevido a dados e processos administrativos.
Referências:
- [1] BleepingComputer – New Oracle E-Business Suite flaw now exploited in attacks
- [2] Google Threat Intelligence / Mandiant – Oracle E-Business Suite Zero-Day Exploited in Widespread Data Theft Campaigns
- [3] CVE-2026-46817
- [4] Oracle Critical Security Patch Update Advisory – May 2026
- [5] ALERTA 17/2025