美航子公司Envoy Air遭遇Oracle E-Business Suite攻擊

美國航空（American Airlines）旗下子公司Envoy Air周末證實其商用系統Oracle E-Business Suite遭到駭客入侵，成為甲骨文商用軟體第二家知名受害組織。

總部位於德州的Envoy Air為美航子公司。公司有20,000多名員工，擁有160多架飛機。Envoy Air本周對包括路透社及Bleeping Computer證實，得知甲骨文（Oracle）E-Business Suite應用系統發生資安事件。該公司得知此事後立即展開調查，也通知了執法機關。

Envoy Air說明，詳細的資料審視顯示，沒有敏感或客戶資料受到影響，但小部份業務資訊和商業聯絡資訊可能外流。

上周勒索軟體組織Cl0p上周在暗網上將美航列入受害者清單，宣稱是從Oracle E-Business Suite取得的資料。根據路透社報導，美航將媒體求證信件傳給了Envoy Air，顯示受害者並非母公司。Cl0p揚言將公開Envoy Air的外洩資料，因為他們「根本不在乎客戶，不關心安全。」

雖然Envoy Air營運獨立於美航之外，但是兩公司的開票、航班安排及客戶服務系統是相連的。

Envoy Air是自上周Cl0p宣稱手中掌握哈佛大學Oracle E-Business Suite資料後，第二家知名受害組織。

Oracle E-Business Suite是繼Salesforce後，另一個讓大量企業用戶被當駭客提款機的重要系統。不同的是，Salesforce的資訊外洩並非起於軟體漏洞，而是第三方系統如Salesloft Drift存取憑證外洩，而Oracle E-Business Suite安全事件根源自於軟體漏洞，還有甲骨文的資訊不公告。

甲骨文兩周前接連發佈E-Business Suite的CVE-2025-61882及CVE-2025-61884二項安全公告，但拜甲骨文缺乏即時安全公告，以及資訊誤植之賜，引發一陣混亂。10月初甲骨文公告CVE-2025-61882，還列出有濫用程式及IoC，甲骨文當時僅說漏洞可能遭到濫用。

但是這公告很快被追蹤攻擊行動的Google/Mandiant資安人員揭露，早在7月Oracle E-Business Suite就有一項漏洞被濫用（隨後Cl0p證實），然甲骨文卻隻字未提。而且，研究人員還指出CVE-2025-61882公告列出的IoC，其實指向另一個完全不同的漏洞。二天後，甲骨文才公佈第二則安全公告修正說法，IoC是指向CVE-2025-61884。而且，媒體追蹤後才釐清，濫用程式是由另一知名駭客組織ShinyHunters或Scattered Lapsus$ Hunters所發佈。

Google Threat Intelligence Group及Mandiant相信，受害者可能高達數十家企業或組織。