サイバーセキュリティ企業のCrowdStrikeによると、Clopランサムウェアの一団は、少なくとも8月上旬以降、データ盗難攻撃においてOracle E-Business Suite(EBS)の重大なゼロデイバグを悪用している。
CVE-2025-61882として追跡され、週末にオラクルによってパッチが適用されたこの脆弱性は、Oracle EBSのConcurrent ProcessingコンポーネントのBI Publisher Integrationコンポーネントに発見されたもので、未認証の攻撃者は、ユーザーとの対話を必要としない低複雑度の攻撃で、パッチ未適用のシステム上でリモート・コード実行を行うことができます。
しかし、watchTowr Labsのセキュリティ研究者が、サイバー犯罪組織「Scattered Lapsus$ Hunters」(2025年5月のタイムスタンプを持つ)によってオンライン上にリークされた概念実証(PoC)エクスプロイトをリバースエンジニアリングした際に発見したように、CVE-2025-61882は実際には、脅威行為者が単一のHTTPリクエストを使用して認証を必要とせずにリモートでコードを実行できるようにする脆弱性の連鎖です。
月曜日、CrowdStrike のアナリストは、8月初旬から CVE-2025-61882 をゼロデイとして悪用して機密文書を盗む Clop ランサムウェアギャングを最初に発見したと報告し、他の脅威グループも攻撃に参加している可能性があると付け加えました。
「CrowdStrike Intelligence は、GRACEFUL SPIDER がこのキャンペーンに関与している可能性が高いと中程度の確信を持って評価していますが、複数の脅威アクターが CVE-2025-61882 を悪用している可能性も否定できません。しかし、複数の脅威行為者が CVE-2025-61882 を悪用している可能性は排除できません。最初の悪用が確認されたのは 2025 年 8 月 9 日ですが、調査は継続中であり、この日付は変更される可能性があります。
「CrowdStrike Intelligenceはさらに、2025年10月3日の概念実証(POC)の公開とCVE-2025-61882パッチのリリースにより、脅威行為者(特にOracle EBSに精通している者)が武器化されたPOCを作成し、インターネットに公開されたEBSアプリケーションに対して活用しようとすることがほぼ確実になると評価しています。
MandiantとGoogle Threat Intelligence Group(GTIG)は先週、Clopが進行中の恐喝キャンペーンの一環として複数の企業の幹部に電子メールを送り、Oracle E-Business Suiteシステムから盗まれたとされる機密データがオンラインに流出するのを防ぐために身代金を要求していると伝えた。
木曜日、オラクルは、サイバー犯罪組織Clopが主張する恐喝 メールとOracle EBSの脆弱性CVE-2025-61882を 関連付け、積極的に悪用されているこの欠陥に優先的にパッチを適用するよう顧客に促した。
「オラクルは、このセキュリティ・アラートで提供されるアップデートをできるだけ早く適用することを強く推奨します。オラクルは常に、アクティブにサポートされているバージョンを使用し続け、すべてのセキュリティ・アラートとクリティカル・パッチ・アップデートのセキュリティ・パッチを遅滞なく適用することを顧客に推奨しています」と警告している。
クロープ恐喝グループは、ゼロデイ脆弱性を悪用した大規模なデータ窃盗キャンペーンを長年行っており、最近では1月にクレオのセキュアファイル転送ソフトウェアのゼロデイ脆弱性(CVE-2024-50623)を狙った攻撃でファイルを盗み出し、数十人の被害者を恐喝した。
クロップは以前にも、Accellion FTA、GoAnywhere MFT、MOVEit Transferのゼロデイを狙った複数のデータ盗難キャンペーンに関連しており、後者は2770以上の組織に影響を与えていた。
米国務省は現在、Clopのランサムウェア攻撃と外国政府との関連付けに役立つ情報に対して、1000万ドルの報奨金も提供している。
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px;
width: 100%;
}
.ia_button {
width: 100%;
margin: 0px auto;
}
}
今年のセキュリティ検証イベントPicus BASサミット
Breach and Attack Simulation Summitに参加して、セキュリティ検証の未来を体験してください。一流の専門家から話を聞き、AIを搭載したBASが侵害と攻撃のシミュレーションをどのように変革するかをご覧ください。
セキュリティ戦略の未来を形作るイベントをお見逃しなく。
Comments