Oracleは週末、E-Business Suite(EBS)のゼロデイ脆弱性に対する緊急修正を急遽リリースしました。この脆弱性は、犯罪グループClopによってすでにデータ窃取や恐喝に悪用されています。
この脆弱性はCVE-2025-61882として追跡されており、認証されていないリモートコード実行を可能にします。CVSS深刻度スコアは9.8であり、セキュリティチームにとって「待ったなし」の問題であることを示しています。
このバグは、先週OracleがClopによる古い未修正のEBS脆弱性を悪用した恐喝攻撃の波を警告したことから始まった一連の出来事の最新の展開です。当時、同社はこの活動が7月のクリティカルパッチアップデートで対処された脆弱性に関連していると述べていました。しかし、犯罪者たちは新たな切り札を持っていました。それが、今回Oracleが認めた、同じキャンペーンで使用されていた未公開のゼロデイ脆弱性です。
MandiantはThe Registerに対し、Clopがこの新たなゼロデイを含む複数のOracle EBSの脆弱性を悪用したことを確認しました。LinkedInへの投稿で、Mandiant CTOのチャールズ・カーマカル氏は、Clopによる「大規模な悪用」について警告を発しました。
「ClopはOracle EBSの複数の脆弱性を悪用し、2025年8月に複数の被害者から大量のデータを盗み出しました」と彼は記しています。「CVE-2025-61882は、認証されていないリモートコード実行を可能にする重大な(CVSS 9.8)脆弱性です。すでに広範囲にわたるゼロデイの大規模悪用が発生していることを踏まえ、組織はすでに侵害されていないか調査すべきです。」
Oracleもまた、アドバイザリで「この脆弱性は、ユーザー名やパスワードを必要とせずにネットワーク越しに悪用される可能性がある」と警鐘を鳴らしています。
同社が共有した侵害の兆候からは、混沌としたLapsus$集団のリブランドと考えられているScattered Lapsus$ Huntersも同じエクスプロイトにアクセスしていた可能性が示唆されています。このグループは先週、新たなリークサイトとともに再登場し、新たなデータダンプを公開しました。これにより、Lapsus$の分派とClopの間で作戦やツールが重複・共有されている可能性が浮上しています。
Clopは2025年の大半を、ランサムウェアによる暗号化から純粋なデータ窃取と恐喝へと活動を多様化させてきました。これは2年前のMOVEit攻撃で磨かれた手口を反映しています。今回のケースでは、カーマカル氏によれば、ギャングは先週月曜以降、EBSサーバーから盗んだとされる機密ファイルを保持していると主張し、ダークウェブへの公開を防ぐための支払いを要求する恐喝メールを経営幹部に送りつけているとのことです。すべての被害者に連絡があったわけではないとされており、今後さらなる影響が出る可能性があります。
Oracleはゼロデイを迅速に修正しましたが、すでに被害が発生している可能性があります。同社のブログ記事(パッチ公開後に掲載)でも、悪用がリリース前に発生していたことを認めており、Mandiantは「nデイ」悪用が、他の攻撃者によって公開された脆弱性情報を利用して今後も続くと予想しています。
Oracleは、何人の顧客が影響を受けたのか、どのような種類のデータが盗まれたのか、攻撃者から連絡があったのかについて、The Registerの質問に回答していません。
現時点でのOracleとMandiantのアドバイスは明快です。「直ちにパッチを適用し、侵害されたものと想定して調査を始めること」。カーマカル氏の言葉を借りれば、大規模な悪用はすでに発生しており、残された唯一の本当の疑問は「次は誰か」ということです。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/10/06/clop_oracle_ebs_zeroday/
