Oracle E-Business Suite曝嚴重漏洞CVE-2025-61882，恐遭駭客利用入侵

Source: TWCERT/CC台灣電腦網路危機處理暨協調中心Oracle於2025年10月發布重大資安公告，揭露旗下E-Business Suite 12.2.3至12.2.14版本存在一個高嚴重性漏洞(CVE-2025-61882，CVSS：9.8)。 該漏洞允許未經身分驗證的攻擊者透過HTTP協定進行遠端存取，可能導致遠端程式碼執行。 美國網路安全與基礎設施安全局（CISA）已將此漏洞納入已知漏洞目錄(KEV)，並觀察該漏洞已被勒索軟體集團積極利用，建議用戶儘速依照Oracle官方建議，採取相關緩解措施，以防止系統遭入侵並造成重大損失。 Google威脅情報小組 (GTIG) 和 Mandiant研究團隊追蹤到與勒索軟體集團「CL0P」相關的攻擊行動，調查報告指出，攻擊者已向多家組織的高階主管發送電子郵件，聲稱已竊取Oracle E-Business Suite環境中的敏感資料，並藉此施壓受害企業。 值得注意的是，這些勒索信件中包含兩個被列入CL0P洩露網站的電子郵件地址，分別為support[@]pubstorm.com和support[@]pubstorm.net，如圖1所示。 圖1：CL0P勒索組織發送給受害者的勒索郵件。 圖片來源：GTIG 根據watchTowr Labs深入分析，攻擊者利用該漏洞多種複合攻擊技術，包含伺服器端請求偽造(SSRF)、CRLF注入、身分驗證繞過和XSLT注入，形成一條精密而高效的攻擊鏈，攻擊流程及技術如圖2所示。 圖2：CVE-2025-61882漏洞利用攻擊鏈。 圖片來源：watchTowr Labs 以下為攻擊流程主要階段說明： 第一階段，偽造伺服器端請求 (SSRF)：攻擊者注入特製的XML請求至 Oracle EBS，誘使伺服器向攻擊者指定的 URL 發起 HTTP 請求，藉此取得原本僅能於內部網路存取的資源或資料。 第二階段，注入CRLF：透過注入CRLF字元操控HTTP標頭，將原本的GET請求改寫為POST請求，成功繞過應用系統的安全檢查。 第三階段，持續連線：利用HTTP持續連線機制(keep-alive或connection reuse)，在同一TCP連線中連續發送多個請求，有效提升攻擊成功率且減少被偵測風險。 第四階段，身分驗證繞過：由於Oracle EBS服務綁定至私有IP介面，攻擊者藉由路徑遍歷技巧繞過身份驗證，訪問應受保護的內部管理頁面，取得更高權限操作能力。 第五階段，XSLT注入：攻擊者控制伺服器下載並注入惡意XSLT，借助Oracle EBS的XSLT處理功能執行惡意Java代碼，以利遠端程式碼執行（RCE），進一步掌控系統。 面對此重大資安威脅，GTIG 和 Mandiant 建議採取以下防護措施： 1. 立即套用Oracle官方發布的緊急修補程式，以修補CVE-2025-61882漏洞，防止攻擊者利用該漏洞進行遠端程式碼執行 2. 建議系統管理員定期檢查EBS資料庫，留意是否有異常資料或存取行為，因攻擊者可能將惡意酬載(payload)直接儲存於資料庫中 3. 阻斷所有從EBS伺服器向外網的非必要流量，限制伺服器與外部網路的通訊，降低潛在攻擊面 4. 持續監控並分析網路流量與系統日誌，儘早偵測任何可疑異常行為或攻擊跡象 5. 若懷疑系統已遭入侵，建議針對與EBS應用程式相關聯的Java行程進行記憶體分析，識別潛在惡意程式或異常活動 以下是Oracle提供的IoC： 200[.]107[.]207[.]26 185[.]181[.]60[.]11 76b6d36e04e367a2334c445b51e1ecce97e4c614e88dfb4f72b104ca0f31235d aa0d3859d6633b62bccfb69017d33a8979a3be1f3f0a5a4bf6960d6c73d41121 6fd538e4a8e3493dda6f9fcdc96e814bdd14f3e2ef8aa46f0143bff34b882c1bOracle於2025年10月發布重大資安公告，揭露旗下E-Business Suite 12.2.3至12.2.14版本存在一個高嚴重性漏洞(CVE-2025-61882，CVSS：9.8)。 該漏洞允許未經身分驗證的攻擊者透過HTTP協定進行遠端存取，可能導致遠端程式碼執行。 美國網路安全與基礎設施安全局（CISA）已將此漏洞納入已知漏洞目錄(KEV)，並觀察該漏洞已被勒索軟體集團積極利用，建議用戶儘速依照Oracle官方建議，採取相關緩解措施，以防止系統遭入侵並造成重大損失。 Google威脅情報小組 (GTIG) 和 Mandiant研究團隊追蹤到與勒索軟體集團「CL0P」相關的攻擊行動，調查報告指出，攻擊者已向多家組織的高階主管發送電子郵件，聲稱已竊取Oracle E-Business Suite環境中的敏感資料，並藉此施壓受害企業。 值得注意的是，這些勒索信件中包含兩個被列入CL0P洩露網站的電子郵件地址，分別為support[@]pubstorm.com和support[@]pubstorm.net，如圖1所示。 圖1：CL0P勒索組織發送給受害者的勒索郵件。 圖片來源：GTIG 根據watchTowr Labs深入分析，攻擊者利用該漏洞多種複合攻擊技術，包含伺服器端請求偽造(SSRF)、CRLF注入、身分驗證繞過和XSLT注入，形成一條精密而高效的攻擊鏈，攻擊流程及技術如圖2所示。 圖2：CVE-2025-61882漏洞利用攻擊鏈。 圖片來源：watchTowr Labs 以下為攻擊流程主要階段說明： 第一階段，偽造伺服器端請求 (SSRF)：攻擊者注入特製的XML請求至 Oracle EBS，誘使伺服器向攻擊者指定的 URL 發起 HTTP 請求，藉此取得原本僅能於內部網路存取的資源或資料。 第二階段，注入CRLF：透過注入CRLF字元操控HTTP標頭，將原本的GET請求改寫為POST請求，成功繞過應用系統的安全檢查。 第三階段，持續連線：利用HTTP持續連線機制(keep-alive或connection reuse)，在同一TCP連線中連續發送多個請求，有效提升攻擊成功率且減少被偵測風險。 第四階段，身分驗證繞過：由於Oracle EBS服務綁定至私有IP介面，攻擊者藉由路徑遍歷技巧繞過身份驗證，訪問應受保護的內部管理頁面，取得更高權限操作能力。 第五階段，XSLT注入：攻擊者控制伺服器下載並注入惡意XSLT，借助Oracle EBS的XSLT處理功能執行惡意Java代碼，以利遠端程式碼執行（RCE），進一步掌控系統。 面對此重大資安威脅，GTIG 和 Mandiant 建議採取以下防護措施： 1. 立即套用Oracle官方發布的緊急修補程式，以修補CVE-2025-61882漏洞，防止攻擊者利用該漏洞進行遠端程式碼執行 2. 建議系統管理員定期檢查EBS資料庫，留意是否有異常資料或存取行為，因攻擊者可能將惡意酬載(payload)直接儲存於資料庫中 3. 阻斷所有從EBS伺服器向外網的非必要流量，限制伺服器與外部網路的通訊，降低潛在攻擊面 4. 持續監控並分析網路流量與系統日誌，儘早偵測任何可疑異常行為或攻擊跡象 5. 若懷疑系統已遭入侵，建議針對與EBS應用程式相關聯的Java行程進行記憶體分析，識別潛在惡意程式或異常活動 以下是Oracle提供的IoC： 200[.]107[.]207[.]26 185[.]181[.]60[.]11 76b6d36e04e367a2334c445b51e1ecce97e4c614e88dfb4f72b104ca0f31235d aa0d3859d6633b62bccfb69017d33a8979a3be1f3f0a5a4bf6960d6c73d41121 6fd538e4a8e3493dda6f9fcdc96e814bdd14f3e2ef8aa46f0143bff34b882c1b See more: https://www.twcert.org.tw/tw/cp-104-10457-c017e-1.html