サイバーセキュリティ機関CISAは、今月初めに修正されたOracle E-Business Suite(EBS)の脆弱性が実際に悪用されていることを確認しました。
数十社のOracle顧客が、EBSインスタンスからのデータ窃取を伴うキャンペーンの標的となりました。サイバー犯罪者は、おそらくFIN11と呼ばれる脅威グループの一派で、大量のファイルを盗み、被害者に対して恐喝を試みました。
攻撃者はEBSの脆弱性を悪用してデータにアクセスしましたが、Oracleやサイバーセキュリティ業界は、どの脆弱性が悪用されたのかについて明確な情報をまだ共有していません。
Oracleは当初、7月に修正された既知の脆弱性が関与していると述べ、その後、CVE-2025-61882として追跡されるゼロデイ脆弱性もこのキャンペーンで悪用された可能性があると発表しました。
数日後の10月11日、同社はCVE-2025-61884の修正を発表しました。この脆弱性は、認証やユーザーの操作なしにリモートで悪用され、機密データへのアクセスが可能となります。
しかし、OracleのアドバイザリにはCVE-2025-61884が攻撃で悪用されたことを示す記載はなく、現在もありません。パッチのタイミングだけが、CVE-2025-61884も攻撃者に利用された可能性を示唆しています。
しかし、CISAは月曜日にCVE-2025-61884を既知の悪用された脆弱性(KEV)カタログに追加し、その悪用を確認しました。CISAのKEVカタログに追加されたことで、連邦機関は11月10日までに対策を講じる必要があります。
Bleeping Computerは先週、CVE-2025-61884が、Oracle EBSハッキングキャンペーンが明るみに出た直後にScattered Lapsus$ Hunter(Scattered SpiderとShinyHuntersの提携)によってリークされたPoCエクスプロイトに該当すると報じました。当初、このPoCはCVE-2025-61882に該当すると考えられていました。
どの脆弱性がnデイまたはゼロデイとして悪用されたかに関わらず、Bleeping Computerが複数のセキュリティ企業から得た情報によれば、最新のOracle EBSインストールはもはや攻撃の影響を受けないようです。
被害者に送られた恐喝メールには、Cl0pグループの署名があり、同グループは過去数年にわたり、Cleo、MOVEit、Fortraのファイル転送製品をゼロデイ脆弱性の悪用によって標的とした類似キャンペーンで悪名を高めています。
記事執筆時点で、Oracle EBSハックの被害者とされる4組織がCl0pランサムウェアのリークサイトに掲載されています:ハーバード大学、アメリカン航空(子会社Envoy Air)、南アフリカのウィットウォーターズランド大学、そして産業大手エマソンです。
このうちエマソンだけが、被害を受けたことをまだ確認しておらず、同社はSecurityWeekのコメント要請にも応じていません。
翻訳元: https://www.securityweek.com/cisa-confirms-exploitation-of-latest-oracle-ebs-vulnerability/
