出典: catnap(Alamyストックフォト経由)
悪名高いランサムウェア集団が、最近発見されたゼロデイ脆弱性の影響を受けたOracle顧客を標的にしています。
このゼロデイはCVE-2025-61882であり、Oracle E-Business Suiteに存在する重大な脆弱性です。これにより、認証なしで攻撃者がリモートからOracle Concurrent Processingへアクセスし、侵害することが可能となります。木曜日、Oracleの最高セキュリティ責任者(CSO)Rob Duhart氏はブログ投稿で、Oracle顧客を標的とした最近の攻撃の波は、7月に修正された9つの脆弱性に関連している可能性があると述べましたが、10月4日にOracleは新たな脆弱性が原因であることを明らかにしました。
この攻撃の波についてのニュースは、先週初めに、E-Business Suiteの顧客がランサムウェア集団Clopを名乗る脅迫メールの標的となったという報告とともに明らかになりました。
新たに現れたOracleの脆弱性
National Vulnerability Databaseによると、CVE-2025-61882は特にOracle E-Business SuiteのOracle Concurrent Processing製品、特にBI Publisher Integrationコンポーネントに影響を与えます。多くの技術的詳細は公表されていませんが、NVDページによれば、このバグはCVSSスコア9.8の「容易に悪用可能な脆弱性」とされています。
「この脆弱性の攻撃が成功すると、Oracle Concurrent Processingの乗っ取りにつながる可能性があります」とそのページには記載されています。
CVE-2025-61882の重大性とリモートコード実行の可能性を踏まえ、Oracleはアドバイザリで、顧客に対しできるだけ早く適切なセキュリティアップデートを適用することを「強く推奨」しています。影響を受ける顧客には、Oracle E-Business Suiteバージョン12.2.3~12.2.14を使用している場合が含まれ、アドバイザリには侵害の兆候も記載されています。
10月5日に公開されたブログ投稿で、TenableのシニアスタッフリサーチエンジニアであるSatnam Narang氏は、Oracleが7月に公表した9つの脆弱性への言及を削除したものの、実際はより複雑な事情がある可能性を指摘しています。
「この言及の削除は、2025年7月のCPU脆弱性がこれらの攻撃で利用されなかったことを示唆しています」とNarang氏は記しています。「しかし、Cl0pランサムウェアグループが複数の脆弱性、特に2025年7月のCPUリリースの一部を悪用したとする外部報告も存在します。これはOracleによって公式には確認されていません。」
Clopの継続的な攻撃
Clopは長年活動しているランサムウェアおよびデータ恐喝グループで、近年でも特に広範囲なキャンペーンを実施してきました。この集団は以前、Progress SoftwareのMOVEit Transfer管理ファイル転送(MFT)ソフトウェアのゼロデイを悪用した2023年の大規模キャンペーンの背後にもおり、数千の組織を標的にし、数千万人分の個人データを利用しました。
このグループはまた、以前にCleoの顧客やFortra GoAnywhere MFTの顧客なども標的にしてきました。今回のOracle顧客を狙った最新のキャンペーンが過去のものと比較してどのような規模になるかはまだ分かりませんが、ひとつだけ確かなことがあります。もし脆弱なバージョンのOracle E-Business Suiteを使用している場合は、できるだけ早くパッチを適用すべきです。
Oracleは、Dark Readingからの追加コメントの要請には記事掲載時点までに回答しませんでした。
翻訳元: https://www.darkreading.com/application-security/clop-ransomware-oracle-customers-zero-day-flaw
