Oracle EBS のゼロデイ CVE-2025-61882 などを悪用:Cl0p ランサムウェアがユーザーに脅迫メールを送信

Cl0p Ransomware Actively Exploiting Oracle E-Business Suite 0-Day

2025/10/07 gbhackers — Cl0p ランサムウェア集団が、Oracle E-Business Suite (EBS) の深刻なゼロデイ脆弱性 CVE-2025-61882 を積極的に悪用し、企業顧客を標的にしているという。この攻撃に関連する脅威アクターからの脅迫メールを、複数の組織が受け取ったとの報告があり、Oracle は緊急セキュリティ・アドバイザリを発行した。

ゼロデイ脆弱性の詳細

Oracle が認めたのは、Oracle EBS の Business Intelligence Publisher (BI Publisher) 統合コンポーネントに影響を及ぼす、深刻なリモート・コード実行 (RCE) の脆弱性 CVE-2025-61882 (CVSS:9.8) が悪用されている状況である。この脆弱性の悪用により、システム全体の侵害につながる可能性があるという。

このゼロデイ脆弱性が影響を及ぼす範囲は、Oracle E-Business Suite バージョン 12.2.3~12.2.14 である。Oracle 統合ビジネス・アプリケーション・スイートを利用する、世界中の膨大な数の組織において、注文管理/物流/調達などの重要業務に影響を与えている。

2019年2月から活動している Cl0p は、高度に洗練されたランサムウェア集団だと、セキュリティ研究者たちは指摘している。Cl0p が主として標的にするのは、エンタープライズ向けファイル転送およびビジネス・ソフトウェアのゼロデイ脆弱性である。

Cl0p は脅威アクター TA505/FIN11 と関連しており、これまでに Accellion/MOVEit Transfer/GoAnywhere/Cleo プラットフォームのゼロデイ脆弱性を悪用してきた。しかし、今回の攻撃では、従来のファイル暗号化型手法から、純粋なデータ窃取および恐喝の手法へと転換している。

10月2日から Oracle の顧客は、EBS システムから機密情報を盗み出したと主張する、攻撃者からの脅迫メールを受け取り始めた。Oracle の予備調査によると、この脅威アクターは複数の脆弱性を悪用しており、2025年7月の Critical Patch Update で修正された9件の CVE も、その中に含まれているという。

これらの脆弱性は CVSS スコア 5.4~8.1 の範囲にあり、Oracle Lease and Finance Management/Mobile Field Service/Universal Work Queue などの、各種の EBS コンポーネントに影響を与えるものである。

CVE IdentifierAffected ComponentCVSS ScoreImpact
CVE-2025-61882BI Publisher Integration9.8Remote Code Execution
CVE-2025-30743Lease and Finance Management8.1High Impact
CVE-2025-30744Mobile Field Service8.1High Impact
CVE-2025-50105Universal Work Queue8.1High Impact
CVE-2025-50071Applications Framework6.4Medium Impact

すでに Oracle は、すべての特定された脆弱性にパッチをリリースしているが、ユーザー組織が最新のセキュリティアップデートを適用する前提条件として、2023年10月の Critical Patch Update (CPU) の適用が必要になる。

すでに、CVE-2025-61882 の PoC エクスプロイトが公開されており、パッチ未適用のシステムではリスクが大幅に高まっている。それに加えて、現在も活発な悪用活動と、Cl0p の能力が組み合わさり、脆弱な組織にとって極めて危険な脅威環境が形成されている。

すべての Oracle EBS ユーザーに対して、セキュリティ専門家が強く推奨するのは、脆弱性への露出状況を直ちに評価し、提供されているパッチを速やかに適用することだ。

Oracle EBS の BI Publisher 統合部における脆弱性により、深刻なリモート・コード実行 (RCE) に至る可能性があるようです。最も深刻な CVE-2025-61882 の他にも、いくつかの脆弱性が悪用されている可能性があるようです。この記事のソースは Tenable ですが、そこには PoC の存在も明記されています。ご利用のチームは、ご注意ください。よろしければ、Oracle で検索も、ご参照ください。