概要

悪名高いCl0pランサムウェアグループが、Oracle E-Business Suite (EBS) の重大なゼロデイ脆弱性を積極的に悪用しており、CVE-2025-61882を通じて企業顧客を標的にしています。この高度な攻撃キャンペーンにより、複数の組織が脅威アクターから恐喝メールを受け取ったとの報告が浮上し、Oracleは緊急セキュリティアドバイザリを発行しました。

重大なゼロデイ脆弱性の詳細

Oracleは、Oracle EBSのBusiness Intelligence Publisher (BI Publisher) Integrationコンポーネントに影響を与える深刻なリモートコード実行の脆弱性CVE-2025-61882の悪用を確認しました。この脆弱性は最大CVSSスコア9.8を記録しており、システム全体の侵害につながる可能性のある重大な深刻度を示しています。

このゼロデイ脆弱性は、Oracle E-Business Suiteのバージョン12.2.3から12.2.14に影響を与え、注文管理、ロジスティクス、調達などの重要な業務でOracleの統合ビジネスアプリケーションスイートに依存する世界中の数千の組織に影響を及ぼします。

Cl0pグループの脅威

セキュリティ研究者らは、Cl0pを2019年2月から活動している非常に高度なランサムウェアグループと特定しており、企業向けファイル転送およびビジネスソフトウェアのゼロデイ脆弱性を特に標的とすることで知られています。TA505およびFIN11の脅威アクターとも関連付けられているこのグループは、以前にもAccellion、MOVEit Transfer、GoAnywhere、およびCleoプラットフォームのゼロデイ脆弱性を悪用しています。

今回のキャンペーンでは、Cl0pは従来のファイル暗号化から、純粋なデータ窃取と恐喝戦術へと移行しています。Oracleの顧客は10月2日から脅迫メールを受け取り始め、攻撃者がEBSシステムから機密情報を盗み出したと主張しています。

追加の脆弱性とOracleの対応

Oracleの予備調査により、脅威アクターが2025年7月のCritical Patch Updateでパッチが適用された9つの追加CVEを含む複数の脆弱性を悪用したことが明らかになりました。これらの脆弱性はCVSSスコアが5.4から8.1の範囲で、Oracle Lease and Finance Management、Mobile Field Service、Universal Work Queueなど、さまざまなEBSコンポーネントに影響を与えました。

• CVE-2025-61882 (BI Publisher Integration): CVSSスコア 9.8、リモートコード実行
• CVE-2025-30743 (Lease and Finance Management): CVSSスコア 8.1、高影響
• CVE-2025-30744 (Mobile Field Service): CVSSスコア 8.1、高影響
• CVE-2025-50105 (Universal Work Queue): CVSSスコア 8.1、高影響
• CVE-2025-50071 (Applications Framework): CVSSスコア 6.4、中影響

対策と推奨事項

Oracleは特定されたすべての脆弱性に対するパッチをリリースしていますが、組織は最新のセキュリティアップデートをインストールする前に、2023年10月のCPUを前提条件として適用する必要があります。CVE-2025-61882の公開された概念実証（PoC）エクスプロイトが現在利用可能であり、パッチが適用されていないシステムのリスクを大幅に高めています。

セキュリティ専門家は、すべてのOracle EBS顧客に対し、直ちに自身の露出を評価し、利用可能なパッチを適用することを強く推奨しています。積極的な悪用、公開されたエクスプロイトコード、およびCl0pの実証された能力の組み合わせは、脆弱な組織にとって極めて危険な脅威状況を生み出しています。

---

元記事: https://gbhackers.com/cl0p-ransomware-exploiting-oracle-0-day/