概要

悪名高いClopランサムウェアグループ（別名Graceful Spider）は、ダークウェブのリークサイトにOracle Corporationを掲載し、同社の内部システムを侵害したと主張しています。この憂慮すべき事態は、Oracle E-Business Suite (EBS) の重要なゼロデイ脆弱性「CVE-2025-61882」を標的とした、同グループによる進行中の恐喝キャンペーンが大幅にエスカレートしたことを示しています。2019年以来、1,025以上の被害者から5億ドル以上の身代金を受け取っているとされるロシア関連の脅威アクターは、Oracleを含む数十の著名な顧客を侵害したと主張しています。

脆弱性の詳細 (CVE-2025-61882)

• 影響を受ける製品: Oracle E-Business Suite (バージョン 12.2.3 ～ 12.2.14)
• 脆弱性の種類: 認証なしのリモートコード実行 (RCE)
• CVSSスコア: 9.8 (Critical)
• 悪用方法: SyncServletを介した認証バイパス & XSLTインジェクション

ゼロデイ脆弱性の大規模な悪用

この攻撃は、Oracle E-Business Suiteのバージョン12.2.3から12.2.14に影響を与える、認証なしの重大なリモートコード実行の脆弱性CVE-2025-61882を利用しており、CVSSスコアは9.8と評価されています。セキュリティ研究者たちは、Clopの関連組織が2025年8月という早い時期からこの脆弱性を積極的に悪用し始めていたことを発見しました。これはOracleが2025年10月にセキュリティパッチをリリースする約2ヶ月前のことです。このエクスプロイトチェーンは、具体的に「OA_HTML/SyncServlet」エンドポイントを標的にして認証メカニズムをバイパスし、その後、「OA_HTML/RF.jsp」を介した悪意のあるXSLTテンプレートインジェクションを利用して、侵害されたサーバー上で任意のコマンドを実行します。

この脆弱性の「認証前」の性質により、攻撃者は有効な認証情報を必要とせずに、機密性の高い企業資源計画 (ERP) データを完全に制御できるため、パッチが適用されていないEBSインスタンスを実行している組織にとって特に危険です。Oracle E-Business Suiteは、注文管理、調達、ロジスティクスなどの重要なビジネス機能を管理するために世界中で広く導入されており、迅速なネットワーク侵入と貴重なデータ流出を狙うランサムウェアグループにとって魅力的なターゲットとなります。

Clopのリークサイト上の証拠

Clopのリークサイトの証拠は、MAZDA.COM、HUMANA.COM、Washington Postなどの主要組織とともに、ORACLE.COMに対する「PAGE CREATED」ステータスを示しています。Oracle Corporation自体の掲載は、ベンダーが自身のソフトウェアの脆弱性の犠牲になった可能性を示唆しており、機密性の高い内部企業データや顧客情報が漏洩した可能性があります。

脅迫メールと攻撃インフラ

複数の業界の被害者は、support@pubstorm[.]comなどのアドレスから恐喝メールを受け取っており、身代金の要求が満たされない場合、財務記録や個人情報の公開を脅迫されています。

THE RAVEN FILEのセキュリティアナリストは、SSL証明書のフィンガープリント分析を通じて、現在の悪用キャンペーンに関連する96個の異なるIPアドレスを発見しました。注目すべきは、研究者たちがOracle EBS攻撃で使用された41個のサブネットIPが、2023年のMOVEit脆弱性 (CVE-2023-34362) の悪用時に以前にも使用されていたことを特定したことであり、これはClopによるインフラの戦略的再利用を示しています。攻撃インフラの地理的分布は、ドイツ (16アドレス)、ブラジル (13)、パナマ (12) にわたっていますが、根本的な分析では、ロシアを拠点とするサービスプロバイダーの集中的な利用が明らかになっています。

元記事: https://gbhackers.com/clop-ransomware-claims-oracle-breach-using-e-business-suite-0-day/