上週末傳出勒索軟體駭客Clop向許多高階主管寄信,聲稱從受害企業的Oracle商業應用程式E-Business Suite(EBS)竊得敏感資料,要求支付贖金換取資料不公開,傳出Google威脅情報團隊(GTIG)與Mandiant介入調查。對此,10月3日Oracle表示已掌握有EBS客戶收到勒索信的情況,根據初步調查結果,駭客使用的漏洞已在7月完成修補,不過隔天他們又發布新的公告,修補另一項重大層級的漏洞,引起外界高度關注。
這項漏洞被登記為CVE-2025-61882,影響12.2.3至12.2.14版EBS,攻擊者可在未經授權的情況下遠端利用,一旦成功觸發,就能遠端執行任意程式碼(RCE)。此漏洞存在於BI Publisher Integration元件,CVSS風險評為9.8分(滿分10分),相當危險。
值得留意的是,雖然Oracle未在資安公告裡直接說明漏洞已被用於實際攻擊,但該公司資安長Rob Duhart更換原本的部落格文章內容,一改之前認為是利用7月公開的漏洞說法,透露這項更新是針對他們事件調查的新發現而來,用來對抗潛在的威脅;再者,他們在兩天後(10月6日)在CVE-2025-61882公告當中,新增入侵指標(IoC),這樣的做法並不尋常。美國網路安全暨基礎設施安全局(CISA)也證實漏洞遭到利用的現象,並於同日將CVE-2025-61882列入已遭利用的漏洞列表(KEV),要求聯邦機構於10月27日完成修補。
不過,針對這項漏洞的細節,Oracle並未進一步說明,傳出介入調查的GTIG與Mandiant,也始終並未公布相關結果,他們是否發現更多細節,有待進一步揭露。值得留意的是,由於Rob Duhart置換原本3日發布的部落格內文,究竟Clop只運用CVE-2025-61882,還是串連了今年7月公布的EBS資安漏洞,如今也出現兩派說法。例如,資安業者Arctic Wolf認為,駭客同時運用7月修補的數個漏洞及CVE-2025-61882來達到目的;不過資安業者Tenable抱持不同的看法,認為7月公布的漏洞並未遭Clop利用,原因是Rob Duhart直接更換部落格整篇文章的內容,僅有提及駭客使用CVE-2025-61882。
但除了Clop利用的資安漏洞範圍引起資安業者探討,也有資安業者針對CVE-2025-61882進行分析,指出該漏洞並不單純,不光只是Oracle公告提及的RCE漏洞,而是一連串漏洞利用鏈的組合,這樣的情況,突顯攻擊者相當了解EBS架構,才能如此串連多項弱點造成嚴重危害。資安業者watchTowr取得概念驗證程式(PoC)進行逆向工程,指出攻擊者若要利用CVE-2025-61882,大致可分成5個步驟(5種弱點)進行。
首先,是將特製的XML請求傳送到指定的Servlet,進行伺服器請求偽造(SSRF)攻擊。攻擊者使用的XML檔案,可藉由漏洞強制後臺伺服器發送任意HTTP請求。接著,攻擊者利用Carriage Return Line Feed注入(CRLF Injection)手法,對於SSRF請求進行完全控制。
攻擊者也試圖濫用HTTP持續連線手法(HTTP persistent connection、HTTP keep-alive、HTTP connection reuse),使得單一TCP連線能串接多個HTTP回應或請求,使得上述兩項手法攻擊的效果更好,而且還變得更難察覺。
除此之外,攻擊者也試圖繞過身分驗證過濾機制,藉由EBS特定的組態配置,進一步透過綁定的IP位址,存取受害企業的內部資源,擴大漏洞利用的危害範圍。
最後一項被利用的環節,是透過可延伸樣式表轉換語言(XSLT)注入手法,藉由上述能夠存取的新資源,達到執行任意程式碼的目的。
熱門新聞
2025-12-02
2025-12-01
2025-11-30
2025-12-01
2025-12-01
