(画像クレジット: Future)
- Oracleは、ランサムウェア攻撃者によって積極的に悪用されていたE-Business Suiteの重大なゼロデイRCE脆弱性にパッチを適用
- 攻撃者は侵害されたメールアカウントを使用して被害者を恐喝、FIN11およびCl0pが関与している可能性
- CVE-2025-61882は9.8/10のスコア、認証不要でシステム全体の乗っ取りが可能
Oracleは、ランサムウェア攻撃者によって積極的に悪用されていたE-Business Suiteのゼロデイ脆弱性に対応するパッチをリリースしました。
2025年10月初旬、サイバー犯罪者たちは、さまざまな米国企業の幹部にメールを送り、Oracle E-Business Suiteシステムから機密ファイルを盗んだと主張しました。当時、Oracleおよびサイバーセキュリティ業界全体は、実際に侵害が発生したのか、それとも被害者に身代金を支払わせるための脅しなのか確信が持てませんでした。
現在、この主張が正当であったことが判明し、OracleはE-Business Suiteバージョン12.2.3~12.2.14の重大な認証不要リモートコード実行(RCE)脆弱性を修正する緊急パッチを公開しました。
決済データは安全
このバグはCVE-2025-61882として追跡されており、深刻度スコアは9.8/10(重大)です。HTTPネットワークアクセスを持つ認証されていない攻撃者が、これを利用してE-Business SuiteのOracle Concurrent Processingコンポーネントを侵害し、完全に乗っ取ることが可能です。
「この脆弱性は認証なしでリモートから悪用可能であり、つまりユーザー名やパスワードを必要とせずにネットワーク経由で悪用される可能性があります」とOracleはアドバイザリで述べています。「悪用に成功した場合、この脆弱性によりリモートコード実行が発生する可能性があります。」
以前の報告では、このキャンペーンには悪名高いCl0pや、金銭目的の攻撃者であるFIN11など、複数の脅威アクターが関与しているとされています。
Google CloudのMandiant CTOであるCharles Carmakalは、メールが数百の侵害されたメールアカウントから送信されていると述べており、その中にはFIN11に属するとされるアカウントも含まれているとしています。「現在、数百の侵害されたアカウントから大量のメールキャンペーンが展開されており、初期分析ではこれらのアカウントの少なくとも1つが、長期間にわたりランサムウェアの展開や恐喝活動で知られる金銭目的の脅威グループFIN11と以前関連していたことが確認されています」とCarmakal氏は述べています。
同時に、これらのメールには以前Cl0pのデータリークサイトに掲載されていた連絡先アドレスが含まれていたため、両グループがキャンペーンに関与している、あるいは単にリソースを共有している可能性があります。ただし、関連性を裏付ける証拠は十分ではありません。
Oracleのアドバイザリとともに公開されたIoC(侵害の指標)からも、Scattered Lapsus$ Huntersの関与が示唆されています。
