Oracle E-Business Suite顧客への恐喝キャンペーンがゼロデイ脆弱性と関連

先週初めからOracle E-Business Suiteの顧客を標的としたメールベースの恐喝キャンペーンが展開されており、これがゼロデイ脆弱性と関連していることがセキュリティ研究者によって警告されました。このキャンペーンは、悪名高いClopランサムウェアに関連するハッカー集団によるもので、E-Business Suiteを利用する企業の幹部が標的となっています。

Oracleは金曜日にブログ投稿で、7月にリリースされた重要なパッチアップデートを顧客にダウンロードするよう促しました。Oracleは、このゼロデイ脆弱性が認証なしで悪用される可能性があると警告し、ガイダンスを公開しています。

CVE-2025-61882の詳細とClopの関与

日曜日にMandiantの研究者らは、このキャンペーンがCVE-2025-61882として追跡されるゼロデイ脆弱性にも関与していると警告しました。この脆弱性は深刻度スコア9.8と評価されており、攻撃者がOracle E-Business SuiteのOracle Concurrent Processing部分を乗っ取ることが可能になります。MandiantはOracleのセキュリティ研究者と協力して攻撃を調査しました。

Google CloudのMandiant Consulting CTOであるCharles Carmakal氏によると、Clopは以前にも8月にOracle E-Business Suiteの複数の脆弱性を悪用し、同ソフトウェアを使用する複数の組織から大量のデータを盗み出していました。

攻撃の複雑性とエクスプロイトコードの流出

セキュリティ企業watchTowrの研究者らは、今回の攻撃が7月のパッチアップデートで修正された複数の脆弱性と、最近開示されたゼロデイ脆弱性を連鎖させていると述べています。watchTowrの主任セキュリティ研究者であるJake Knott氏は、「一見すると、かなり複雑で手動で再現するにはかなりの労力が必要に見えた」としながらも、「しかし、現在では動作するエクスプロイトコードが流出しており、参入障壁はなくなっている」と指摘しています。

Clopは世界で最も多作なランサムウェアグループの一つとされており、2023年のMOVEitファイル転送ソフトウェアの脆弱性の一斉悪用や、最近ではCleoファイル転送ソフトウェアの脆弱性悪用にも関連しています。watchTowrの研究者らは、エクスプロイトコードが利用可能になった今、複数のグループがこの攻撃に参入すると予想しています。

元記事: https://www.cybersecuritydive.com/news/extortion-campaign-oracle-e-business-suite-zero-day/802123/