吳明宜近日甲骨文緊急修補 Oracle E-Business Suite (EBS) 套件軟體的零時差漏洞,最新研究顯示,駭客早在兩個月前就已知悉漏洞存在。
Google 威脅情報小組 (Google Threat Intelligence Group, GTIG) 和 Mandiant 首先於 10 月 2 日警告 Oracle E-Business Suite 遭到攻擊,而且多家企業客戶先後遭到 CI0p 勒索軟體駭客組織的勒索信件。
CI0p 宣稱犯案,而後研究顯示,這群駭客似乎從八月就從受害企業的 E-Business Suite 系統上竊取了大量資料。
甲骨文一開始說,駭客是濫用了七月修補的漏洞,但在十月初又證實,駭客其實也濫用了一個新的零時差漏洞。該漏洞編號為 CVE-2025-61882,CVSS 風險值為 9.8,影響產品為 Oracle Concurrent Processing 中的 BI Publisher Integration 元件。未授權攻擊者可利用它來遠端執行程式碼。
CrowdStrike 監看後,相信可能和一個名為 Graceful Spider 的俄羅斯駭客有關,這群人就是以散佈 CI0p 勒索軟體聞名。不過 CrowdStrike,涉案的可能有多個組織。
CrowdStrike 的調查還在進行中,不過該公司相信,CVE-2025-61882 最早被利用的時間要推回到 8 月 9 日。當時駭客組織包括 ShinyHunters 、 Scattered Spider(現在融合成 Scattered LAPSUS$ Hunters)已經發佈了概念驗證 (PoC) 程式。
這群駭客一開始和 CI0p 駭客狼狽為奸,但一些文件顯示兩個組織發生內閧。
資安公司 WatchTowr 研究人員認為,分析 PoC 顯示,駭客具有高水準技能,他們至少串聯了 5 個不同漏洞來完成不需驗證的遠端程式碼執行 (RCE) 。
由於駭客已公開了 PoC,資安專家相信其他駭客也會將 CVE-202561288 納入其軍火庫,而且基於 E-Business Suite 的普及,他們相信可攻擊的目標還很多。
Censys 報告,曝露於公開網路的 Oracle E-Business Suite 執行個體超過 2000 個。而 Shadowserver Foundation 辨識出超過 570 個可能有漏洞的執行個體。兩家公司的研究都指出美國曝險的 eBS 執行個體最多,其次是中國。
來源:SecurityWeek