最近パッチが適用されたOracle E-Business Suite(EBS)のゼロデイ脆弱性について、脅威アクターが少なくともパッチが適用される2か月前からこの脆弱性を知っていたことを示す証拠が明らかになりました。
Google Threat Intelligence Group(GTIG)とMandiantは、10月2日に多くの組織の幹部がCl0pサイバー犯罪グループから恐喝メールを受け取った後、Oracle E-Business Suiteを標的とした攻撃について警告を発しました。
その後、Cl0pがこれらの攻撃の背後にいることが確認され、サイバー犯罪者たちは8月以降、標的となった組織のEBSインスタンスから大量のデータを盗み出した可能性が高いことが判明しました。
Oracleは当初、攻撃は7月にパッチが適用された未特定の脆弱性の悪用によるものと述べていましたが、10月4日にはゼロデイ脆弱性も悪用されていたことを認めました。
このゼロデイはCVE-2025-61882として追跡されており、CVSSスコアは9.8です。Oracle Concurrent ProcessingのBI Publisher Integrationコンポーネントに影響し、認証されていない攻撃者によるリモートコード実行が可能となります。
CrowdStrikeはCVE-2025-61882を利用した攻撃を監視しており、Cl0pランサムウェアによる攻撃で知られるGraceful Spiderというロシア関連の脅威アクターと中程度の確信度で関連付けています。しかし、同社は複数のグループがこのゼロデイを悪用した可能性もあると述べています。
CrowdStrikeの調査は継続中ですが、これまでに収集された情報によると、このゼロデイは8月9日に初めて悪用されたとされています。
ハッカーグループのShinyHuntersとScattered Spider(現在は協力関係によりScattered LAPSUS$ Huntersと名乗っている)が、CVE-2025-61882の概念実証(PoC)エクスプロイトを公開しました。
当初はScattered LAPSUS$ HuntersがCl0pのハッカーと協力しているように見えましたが、エクスプロイトと共に公開されたファイルの一つに記載されたメッセージから、脅威グループ間で対立があることが示唆されています。
Oracleが公開した侵害の痕跡(IoC)から、流出したPoCが本物であることが示されており、これはセキュリティ企業WatchTowrによるPoCの分析によって確認されています。
「この[エクスプロイト]チェーンは高度なスキルと労力を示しており、少なくとも5つの異なるバグが組み合わされて認証前のリモートコード実行を実現しています」とWatchTowrは述べています。
PoCが公開されたことで、サイバーセキュリティ業界は他の脅威アクターもCVE-2025-61882を攻撃手法に加えると予想しており、依然として多くの標的が残っている可能性があります。
Censysは、Oracle E-Business Suiteのインターネットに公開されたインスタンスが2,000件以上存在することを報告しています。Shadowserver Foundationは570件以上の潜在的に脆弱なインスタンスを特定しています。CensysとShadowserverの両方で、EBSインスタンスの最多所在国は米国であり、次いで中国が続いています。
翻訳元: https://www.securityweek.com/exploitation-of-oracle-ebs-zero-day-started-2-months-before-patching/
