Oracle

更新 10/6/25 11:15 AM ET:流出したオラクルのソースコードとエクスプロイトの流出に関する詳細情報を追加して記事を更新しました。

オラクルは、CVE-2025-61882 として追跡されている重大な E-Business Suite のゼロデイ脆弱性について警告しています。この脆弱性は、攻撃者が認証されていないリモート・コードの実行を可能にするもので、この欠陥は Clop データ盗難攻撃で積極的に悪用されています。

この脆弱性は、Oracle E-Business SuiteのOracle Concurrent Processing製品(コンポーネント:BI Publisher Integration)内にあり、認証の欠如と悪用の容易さにより、CVSSの基本スコアは9.8です。

「このセキュリティ・アラートは、Oracle E-Business Suiteの脆弱性CVE-2025-61882に対処するものです。

「この脆弱性は、認証なしでリモートから悪用可能です。つまり、ユーザー名とパスワードを必要とせずに、ネットワーク経由で悪用される可能性があります。この脆弱性が悪用された場合、リモートでコードが実行される可能性があります。

オラクルは、このゼロデイ脆弱性がOracle E-Business Suiteのバージョン12.2.3-12.2.14に影響することを確認し、この欠陥に対処するための緊急アップデートをリリースした。

同社は、顧客が新しいセキュリティアップデートをインストールする前に、まず2023年10月のクリティカルパッチアップデートをインストールする必要があると指摘している。

公開PoCが存在し、この欠陥が活発に悪用されているため、オラクルの管理者はできるだけ早くセキュリティ更新プログラムをインストールすることが重要である。

Clopデータ盗難攻撃で悪用されたゼロデイ

オラクルは、これがゼロデイ脆弱性であるとは明言していないものの、最近Telegram上で脅威行為者によって共有されたOracle EBSの悪用に対応する侵害の指標を共有している。

また、Mandiant – Google CloudのCTOであるCharles Carmakal氏は、7月にパッチが適用されたCVE-2025-61882およびその他の欠陥が、2025年8月のOracle E-Business Suiteサーバーに対するデータ盗難攻撃で、ランサムウェア集団Clopによって悪用されたことを確認した。

「ClopはOracle EBSの複数の脆弱性を悪用し、2025年8月に複数の被害者から大量のデータを盗むことを可能にした。

「オラクルの2025年7月のアップデートでパッチが適用された脆弱性と、今週末にパッチが適用された脆弱性(CVE-2025-61882)を含む複数の脆弱性が悪用されました」とCarmakal氏は続けた。

先週、MandiantとGoogle Threat Intelligence Group (GTIG)は、複数の企業が脅威行為者を名乗る電子メールを受信する新たなキャンペーンを追跡していると報告した。

これらのメールには、Clopが企業のOracle E-Business Suiteシステムからデータを盗み、盗んだデータを漏らさないよう身代金を要求していると書かれていた。

「私たちはCL0Pチームです。もし私たちのことをご存知なければ、インターネットで私たちのことをググってください。

“我々は最近、貴社のOracle E-Business Suiteアプリケーションに侵入し、多くの文書をコピーした。すべての個人的なファイルやその他の情報は、現在、私たちのシステムに保持されている。”

Clop extortion email
Clopの恐喝メール
ソースはこちら:グーグル

Clop恐喝団は、ゼロデイ脆弱性を悪用した大規模なデータ窃盗攻撃の長い歴史を持っています:

クロップは後に、彼らが恐喝メールの背後にいることを確認し、データを盗むためにオラクルのゼロデイ脆弱性を悪用したことを指摘した。

「間もなく、オラクルがコア製品に盗聴器を仕掛けたことが明らかになるだろう。

しかし、オラクルは当初、Clopの恐喝キャンペーンを、現在攻撃で使用されていることがわかっている新しいゼロデイではなく、2025年7月にパッチが適用された脆弱性に結びつけていた。

オラクルは今回、このゼロデイ脆弱性を悪用した2つのIPアドレス、リモートシェルを開くコマンド、悪用アーカイブおよび関連ファイルを含む侵害の指標を公開した。

Scattered Lapsus$ Huntersによって流出したエクスプロイト

データ窃盗攻撃とOracleのゼロデイ悪用の背後にはClopがいるが、このゼロデイのニュースは、Salesforceの顧客に対する広範なデータ窃盗攻撃で最近話題になっている別の脅威行為者グループから最初にもたらされた。

金曜日に、Scattered Spider、Lapsus$、およびShinyHuntersの脅威アクターで構成されると主張し、「Scattered Lapsus$ Hunters」と名乗るこれらのアクターは、クロップの名前を含む2つのファイルをTelegramに流出させた。

GIFT_FROM_CL0P.7z “と名付けられた1つのファイルには、ファイル名から “support.oracle.com “に関連すると思われるオラクルのソースコードが含まれている。このストーリーを公開した後、ShinyHuntersは、このソースコードは2025年2月にOracle Cloudに侵入した際に盗まれたものだと伝えた。

しかし、脅威行為者は「ORACLE_EBS_NDAY_EXPLOIT_POC_SCATTERED_LAPSUS_RETARD_CL0P_HUNTERS.zip」アーカイブも公開しており、ファイル名からClop氏が使用したOracle E-Businessエクスプロイトであるとほのめかしています。

Oracle E-Business exploit for zero-day flaw
ゼロデイ欠陥のOracle E-Businessエクスプロイト

は、これがオラクルの侵害の指標に記載されているものと同じファイルであることを確認した。

このアーカイブには、readme.md命令ファイルと、exp.pyとserver.pyという2つのPythonスクリプトが含まれています。これらのPythonスクリプトは、脆弱なOracle E-Business Suiteインスタンスを悪用し、任意のコマンドを実行するか、脅威行為者のサーバーに戻るリバースシェルを開くために使用されます。

オラクルによって共有されたIOCには、Scattered Lapsus$ Huntersによって共有されたエクスプロイト・アーカイブの名前が記載されているため、これがClopランサムウェア・ギャングによって使用されたエクスプロイトであることが確認された。

しかし、Scattered Lapsus$ Huntersの脅威アクターがどのようにしてこのエクスプロイトにアクセスしたのか、また彼らが何らかの形でClopと協力しているのかどうかについては疑問が残る。

ShinyHuntersは、ハッカーがエクスプロイトを共有した人物が、それをClopに渡したか、売った可能性があると述べている。

“それはCCPによって盗まれたSAPと同じように私のexploitでした、そしてそれは私のexploitの別の1つが失敗した方法で他のグループによって悪用されていることをより動揺させました、それで私たちはそれをリークしました。cl0pに憎しみはありません」とShinyHuntersは語った。

この関係について質問するためにClopに連絡したが、現時点では回答は得られていない。

更新:ShinyHuntersからの情報を追加。

.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px;
width: 100%;
}

.ia_button {
width: 100%;
margin: 0px auto;
}
}


Picus BAS Summit

今年のセキュリティ検証イベントPicus BASサミット

Breach and Attack Simulation Summitに参加して、セキュリティ検証の未来を体験してください。一流の専門家から話を聞き、AIを搭載したBASが侵害と攻撃のシミュレーションをどのように変革するかをご覧ください。

セキュリティ戦略の未来を形作るイベントをお見逃しなく。