Oracle 於 10 月 5 日週六發布緊急安全公告,揭露旗下 E-Business Suite(EBS)系統存在新的高危險漏洞 CVE-2025-61884,CVSS 嚴重程度評分達 7.5 分。該漏洞允許未經身份驗證的攻擊者透過網路遠端存取 Oracle Configurator 的敏感資料,影響版本涵蓋 12.2.3 至 12.2.14。此漏洞緊接在另一個零日漏洞 CVE-2025-61882 遭勒索軟體集團利用後曝光,使 Oracle EBS 用戶面臨雙重資安威脅。
這是 Oracle EBS 一週內第二次發布重大安全警報。Oracle 首席資安長 Rob Duhart 表示,CVE-2025-61884 影響「部分」EBS 部署環境,可能被武器化以存取敏感資源。公司強烈建議客戶盡快套用更新或採取緩解措施。
漏洞細節:無需身份驗證即可存取關鍵資料
根據美國國家標準技術研究院(NIST)國家漏洞資料庫描述,CVE-2025-61884 是一個「易於利用的漏洞」,存在於 Oracle EBS 套件中的 Configurator Runtime 使用者介面。
攻擊者無需任何身份驗證,只要能透過 HTTP 協定進行網路存取,就可以入侵 Oracle Configurator。成功攻擊可導致未授權存取關鍵資料,或完全存取所有 Oracle Configurator 可存取的資料。
Oracle 在緊急安全公告中指出,此漏洞可遠端利用且不需要身份驗證,這使得漏洞的威脅性大幅提升。不過,Oracle 並未提及該漏洞是否已遭實際攻擊利用。
受影響版本包括 Oracle E-Business Suite 12.2.3 至 12.2.14。此外,已有 Oracle 客戶指出,至少一個較早版本(12.1.3)也被證實存在此漏洞。Oracle 可能在未來幾天更新修補程式文件,納入更多受影響版本。
緊接零日攻擊:Oracle EBS 面臨連環威脅
CVE-2025-61884 的曝光時機敏感。就在 10 月 4 日,Oracle 才剛發布緊急修補程式,修復另一個被零日利用的高危漏洞 CVE-2025-61882。
CVE-2025-61882 是一個未經身份驗證的遠端程式碼執行漏洞,影響相同的 EBS 版本範圍(12.2.3 至 12.2.14)。Google 威脅情報組 GTIG 與 Mandiant 於 10 月 9 日披露,該漏洞自 8 月 9 日起就遭攻擊者利用,當時修補程式尚未釋出。
攻擊者利用 CVE-2025-61882 部署多種惡意軟體,包括 GOLDVEIN.JAVA、SAGEGIFT、SAGELEAF 和 SAGEWAVE。GOLDVEIN.JAVA 是一個記憶體內執行的 Java 載入程式,用於下載第二階段攻擊載荷。
資安研究人員指出,這些攻擊活動與 Cl0p 勒索軟體集團(亦稱 FIN11)具有高度關聯性。
Cl0p 勒索集團攻擊活動:竊取大量企業資料
根據 GTIG 分析,Cl0p 勒索軟體集團可能早在 8 月 9 日就開始鎖定 Oracle EBS 實例,成功竊取「大量」資料。從 9 月 29 日起,自稱與 Cl0p 合作的個人或團體開始向多家企業高層發送勒索郵件。
勒索郵件中列出的聯絡地址 support@pubstorm.com 和 support@pubstorm.net,自 2025 年 5 月起就出現在 Cl0p 資料洩漏網站上。攻擊者向多家組織提供了合法的檔案清單,證明他們確實存取了受害者的 EBS 環境,部分資料可追溯至 8 月中旬。
GTIG 指出,截至目前尚未在 Cl0p 資料洩漏網站上看到此次攻擊活動的受害者。這符合 Cl0p 過去的作業模式,通常會在發送勒索郵件後等待數週才公開受害者資料。
此攻擊活動與 Cl0p 先前利用檔案傳輸管理系統(MFT)漏洞的手法具有邏輯上的相似性。例如,2024 年底利用 Cleo MFT 漏洞時,Cl0p 同樣部署了 GOLDVEIN 下載器和 GOLDTOMB 後門程式。
修補建議與防護措施
Oracle 已針對 CVE-2025-61884 提供修補程式,並強烈建議客戶立即套用。資安專家提出以下防護建議:
- 立即套用 Oracle 修補程式:優先更新至 Oracle 發布的安全版本,特別是同時修補 CVE-2025-61882 與 CVE-2025-61884。
- 盤點 EBS 版本與部署狀況:確認組織內所有 Oracle EBS 實例的版本,包括開發、測試與正式環境。部分企業可能使用更早版本如 12.1.3,也需要評估風險。
- 限制網路存取:封鎖 EBS 伺服器所有非必要的對外網路連線。即使伺服器已遭入侵,阻斷對外連線也能中斷攻擊鏈,防止攻擊者下載惡意載荷或回傳竊取資料。
- 監控異常模板與資料庫活動:攻擊者會將攻擊載荷直接儲存在 EBS 資料庫中。建議部署資料庫活動監控工具,偵測異常的模板建立或修改行為。
- 分析網路日誌與入侵指標:檢視 EBS 伺服器的網路連線日誌,尋找異常的 HTTP 請求模式或可疑的對外連線。比對已知的入侵指標(Indicators of Compromise, IoC)。
- 執行記憶體鑑識:使用記憶體鑑識工具分析與 EBS 應用程式相關的 Java 程序,檢測未儲存於磁碟的惡意程式碼或人工痕跡。
資安研究人員警告,CVE-2025-61882 的攻擊腳本已在地下論壇外洩,預期未來將出現更多攻擊活動。雖然 CVE-2025-61884 與 CVE-2025-61882 是不同漏洞,但兩者影響相同產品與版本範圍,攻擊者可能結合利用。Oracle 客戶應密切關注官方安全公告,掌握最新威脅情資與防護建議。