吳明宜在企業商務套件軟體 E-Business Suite (EBS) 遭勒索軟體駭客 Clop 攻擊災情大之後,甲骨文趕忙修補另一個漏洞。
新漏洞編號為 CVE-2025-61884,CVSS 風險值 7.5,影響 EBS 的 Runtime UI 元件。甲骨文安全公告警告,即使未經授權的駭客也可遠端利用這項漏洞,且可能允許存取敏感資源。
這是繼 CVE-2025-61882 後,Oracle EBS 另一個漏洞,而且可能讓駭客串聯以竊取資料、勒索,甚至潛入企業網路。甲骨文說,網路上的攻擊者無需使用帳號或密碼即可利用 CVE-2025-61844 存取企業網路,強烈建議客戶安裝更新或安全公告提供的暫時防護方法。
但甲骨文並未說明漏洞是否遭到真的攻擊,或是和兩個月來肆虐知名企業或哈佛等學校的 CVE-2025-61844 攻擊事件是否有關。
一周前,甲骨文忙著修補 EBS 的 CVE-2025-61882,因為該漏洞遭到 Clop 駭客組織未授權存取,而在客戶內部網執行程式碼。 Google 威脅情報小組當時偵測到數十家企業受害,但相信真實受害者可能超過一百家。 Google 相信早在甲骨文修補漏洞的前二個月,就有駭客悄悄在試探 EBS 環境的弱點。研究人員警告,攻擊者可能會串聯多項漏洞,如果早前修補程式未妥善安裝, 就會在這波攻擊者遇險。
雖然甲骨文不願正面回應,但修補時間點卻啟人疑竇。隨著研究人員探究受害系統,可能最後也會發現該漏洞早已被濫用。
就在甲骨文 CVE-2025-61882 攻擊災情擴大時,知名學府哈佛大學坦承正在查 Oracle EBS 攻擊事件。哈佛大學說,這次資安事件僅影響「少數和一個小管理部門有關的單位」,該校表示已經安裝了修補程式。
最新漏洞和 CVE-2025-61882 是否有關不得而知,但可以肯定的是 Oracle EBS 已成為毁掉多家企業管理員美好周末的元兇,而且可能還要再延燒一陣子。
來源:The Register