Oracle EBS資安漏洞CVE-2025-61884追追追！有資安媒體認為在修補前已被利用

10月11日Oracle公布E-Business Suite（EBS）高風險資安漏洞CVE-2025-61884，當時僅有透露該漏洞相當容易利用，若不處理攻擊者可在不需通過身分驗證（輸入帳號、密碼）的情況下，進行遠端利用並存取敏感資源。由於一週前才傳出勒索軟體駭客Clop（Cl0p）附屬團體向EBS用戶發送勒索信，聲稱從這套ERP系統竊得大批資料，疑似利用零時差漏洞CVE-2025-61882而得逞，讓人不禁懷疑，CVE-2025-61884可能也在公布前就遭到利用。

有資安新聞媒體以相當複雜的方式來推敲，認為可能性很高。他們根據Oracle對兩個漏洞的公告內容，以及資安業者watchTowr、CrowdStrike和Mandiant公布的調查結果，並比對修補程式的內容，認為在幾個月前CVE-2025-61884就被用於實際攻擊。

10月14日資安新聞網站Bleeping Computer的報導指出，他們與多名研究員及EBS客戶進行確認，Oracle緩解CVE-2025-61884的安全更新檔案，是根據駭客組織ShinyHunters公開的漏洞概念驗證程式碼來處理，他們發現Oracle與各家資安業者公布的資料當中，出現一些不尋常的地方。首先，Oracle在CVE-2025-61882資安公告列出的入侵指標（IOC）裡，實際上有一項指標與Scattered Lapsus$ Hunters的漏洞概念驗證有關，而這項指標涉及如何修補CVE-2025-61884。

因此，依照這些資訊推論，watchTowr當時取得外流的概念驗證程式碼，實際上與CVE-2025-61884有關，而非Oracle部落格提及的CVE-2025-61882，因為，watchTowr指出，觸發漏洞的管道，是名為UiServlet的元件（/configurator/UiServlet），而非CrowdStrike和Mandiant在勒索軟體駭客Clop（Cl0p）實際攻擊行動裡，看到駭客透過SyncServlet元件（/OA_HTML/SyncServlet）觸發CVE-2025-61882。

上述的推測，Bleeping Computer與其他研究人員共同分析修補程式而得到印證，因為Oracle確實是移除SyncServlet類別來緩解CVE-2025-61882，不過，對於被一併列為入侵指標的Scattered Lapsus$ Hunters概念驗證程式碼，Oracle並未進行任何處置。

至於CVE-2025-61884被用於實際攻擊的猜測，Bleeping Computer提及Mandiant的調查結果當中，疑似由駭客組織UNC6240（ShinyHunters）在7月初發動的第一波活動，就是針對EBS的UiServlet元件下手，觸發尚未登記CVE編號的漏洞，而Oracle剛好在Mandiant公布調查結果的隔天，才修補CVE-2025-61884。

也就是說，Bleeping Computer的言下之意，就是watchTowr分析的漏洞利用鏈其實與CVE-2025-61884有關，而且在今年7月已被ShinyHunters用於實際攻擊。但為何Oracle會出現將其他漏洞的入侵指標列於資安公告當中，還有當時對於駭客利用的漏洞前後說法不一的情況，目前仍不得而知。

CISA證實CVE-2025-61884已被用於實際攻擊行動

這樣的推測，也可以從後來看到美國網路安全暨基礎設施安全局（CISA）更新美國國家漏洞資料庫（NVD）CVE-2025-61884的內容，來得到印證。我們看到CISA在於10月16日更新的內容罕見加入不尋常的資料，首先，他們將watchTowr揭露的CVE-2025-61882漏洞利用鏈，以及Oracle今年7月的例行更新列為參考資料。再者，他們將漏洞利用鏈當中提及的多種弱點類型，納入CVE-2025-61884的屬性。

光是將watchTowr的部落格文章列入參考資料，無法直接證明watchTowr取得的概念驗證程式碼涉及CVE-2025-61884，因為有可能只是CVE-2025-61882與CVE-2025-61884有關，但CISA將watchTowr提及的多種弱點屬性，例如：伺服器偽造請求（SSRF）、路徑穿越、利用斷行與換行符號的注入（CRLF Injection）、身分驗證機制不周延，以及HTTP請求挾持等，列入CVE-2025-61884的特徵，由此看來，CISA也認定watchTowr調查的漏洞利用鏈，就是CVE-2025-61884，而非watchTowr當時提及的CVE-2025-61882。

值得留意的是，後來20日CISA將其列入已遭利用的漏洞名單（KEV），間接證明CVE-2025-61884被用於實際攻擊行動，因此EBS用戶要儘速採取行動因應。