CL0P勒索组织利用Oracle EBS漏洞CVE-2025-61882的攻击分析

应对针对Oracle EBS CVE-2025-61882的CL0P勒索活动

Cybereason正在持续调查。请关注Cybereason博客获取最新更新。

最后更新：10月7日，美国东部时间上午11点

概述及Cybereason目前掌握的信息

2025年7月：Oracle发布安全更新，包含309个补丁，其中9个针对Oracle E-Business Suite（EBS）中的缺陷/漏洞
2025年7月底至9月初：Cybereason根据新出现的证据和持续的数字取证调查评估，CL0P策划了一条入侵路径，允许未经授权访问客户本地管理的Oracle EBS解决方案，枚举可访问和存储的数据，并进行数据窃取
2025年9月底至10月初：出现大规模协调的电子邮件勒索活动，针对本地管理的Oracle EBS用户，要求联系CL0P以避免据称被窃取的数据被公开
2025年10月初：Cybereason了解到正在进行的调查中，CL0P已提供数据证据。截至2025年10月4日，CL0P似乎尚未公布与此事件相关的新受害者
2025年10月5日：Oracle确认Oracle E-Business Suite（EBS）中的CVE-2025-61882。此漏洞可在无需身份验证的情况下远程利用（即，可通过网络利用，无需用户名和密码）。成功利用可能导致远程代码执行（RCE）
2025年10月7日：Cybereason确认威胁行为者活动的最早证据发生在8月9日，但可能随持续调查而改变

针对Oracle EBS的利用证据

Cybereason了解到已向众多公司发送勒索电子邮件，声称组织的Oracle E-Business Suite遭到入侵且数据被窃取。这些电子邮件提供CL0P控制的联系地址（与CL0P泄露网站上的地址对应），并敦促受害者进行谈判，威胁如果不支付赎金将泄露或出售被盗数据。电子邮件明确引用CL0P的恶名（“我们是CL0P团队……"），并指示受害者联系特定电子邮件地址安排付款。勒索者提供的联系电子邮件与CL0P公共数据泄露网站上列出的地址完全匹配。

事件响应供应商和受害者都观察到电子邮件数量庞大且分布广泛，有趣的是这些电子邮件是通过数百个可能被入侵的电子邮件账户跨各种合法组织发送的（而非来自单个邮件服务器），表明为掩盖来源和规避电子邮件过滤而进行的协同努力。尽管在某些情况下，Cybereason了解到电子邮件过滤成功率很高，可能导致某些受害者未意识到自己成为目标。Mandiant（谷歌的事件响应部门）确认至少两个被入侵的发送账户已知在过去的CL0P/FIN11操作中使用过。

初始入侵向量和技术利用细节

初始入侵向量（IIV）/ Cybereason入侵路径的第一阶段已确认为利用CVE-2025-61882，在某些情况下还结合了先前未修补的CVE（多达五个）以实现未经授权的访问和远程代码执行（RCE）能力。初步调查路径指向对Oracle产品2025年7月关键补丁更新（CPU）周期中解决的漏洞的潜在了解和利用。在该季度更新中，引入了309个新补丁，解决了各种Oracle产品系列中的165个CVE。在此版本中，为Oracle E-Business Suite发布了九个补丁。其中，三个漏洞（影响iStore的CVE-2025-30746、影响流程制造MES的CVE-2025-30745和影响Universal Work Queue的CVE-2025-50107）被评为中等严重性。每个漏洞均可由未经身份验证的攻击者通过HTTP远程利用，但成功利用需要某种程度的用户交互。这些缺陷存在于EBS面向Web的组件中，如果未修补，可能允许与应用程序进行有限交互。

CL0P归因

此Oracle EBS事件中的TTP（战术、技术和程序），包括向许多组织发送大量电子邮件、利用许多公司共有的软件缺陷/配置以及不立即加密的勒索，与CL0P过去针对持有客户数据的系统或平台的数据窃取勒索活动密切相关，包括Accellion FTA（2020/2021）、Fortra GoAnywhere（2023）、MOVEit Transfer（2023）以及Cleo Harmony、VLTrader和LexiCom产品（2024）。

在这些调查中，Cybereason的数字取证和事件响应（DFIR）团队发现CL0P迅速利用零日漏洞从数百个组织窃取数据，然后要求赎金以阻止数据泄露。Cybereason评估CL0P的参与符合其特性，并与近年来观察到的策略一致，即他们似乎识别了Oracle EBS系统面向互联网的组织，并利用初始入侵向量（IIV）获得未经授权的访问并在许多受害者中悄无声息地大规模进行数据窃取。CL0P经常进行广泛的侦察、定制代码开发、CVE攻击链化，并在快速、迭代且有时并行的过程中协调大规模受害，所有这些在此活动中均被怀疑且部分已开始被发现。

经济动机很明显，通过声称从高价值公司窃取了ERP数据（例如，财务记录、HR数据、客户信息等），CL0P向高管层施压，要求悄悄满足勒索要求。CL0P向BleepingComputer发送的消息甚至提到了Oracle，声称"Oracle搞砸了他们的核心产品，再次由CL0P来拯救局面……我们只期望为保护最大公司的服务获得报酬”。这种讽刺的"白衣骑士"叙述是CL0P已知的策略，旨在将其勒索辩解为服务而非犯罪。

Oracle公司于2025年10月2日通过CSO Rob Duhart的声明公开回应了此情况。Oracle确认意识到针对EBS客户的勒索电子邮件，并表示其内部调查发现"可能使用了2025年7月关键补丁更新中解决的先前已识别漏洞"。虽然Oracle未将攻击归因于CL0P，但公司的指导明确表示所有Oracle EBS用户应立即应用2025年7月CPU补丁，并审查任何暴露于互联网的EBS实例的安全性。由于这不是对Oracle云或基础设施的利用（涉及本地/客户管理的系统），Oracle的角色是咨询性的，他们重申了及时修补和强配置的至关重要性，暗示适当的SSO/MFA本可以缓解此攻击向量。

建议

以下是我们DFIR团队的关键建议：

实施Oracle 7月补丁：Cybereason指出Oracle EBS依赖其他Oracle组件（例如，数据库、融合中间件），这些组件也应作为7月CPU的一部分进行更新，以完全关闭已知漏洞
实施Oracle 2025年10月5日针对CVE-2025-61882的SBE补丁
将Oracle EBS登录门户与SSO/MFA解决方案集成
将WAF、防火墙和Web访问日志集成到SIM/日志聚合器中，作为数据保留的长期解决方案
如果您是Oracle EBS客户，请扫描电子邮件垃圾邮件过滤器和邮箱基础设施中的CL0P电子邮件，以查看是否收到了联系，但可能被阻止。可根据要求提供发件人IP和电子邮件地址建议
对于在2025年7月31日前未实施完整2025年7月补丁的任何Oracle EBS客户，进行全面的数字取证和事件响应调查，以确保如果与此次事件相关的入侵路径在您的环境中发生或未发生（例如，后门、Webshell、远程访问或数据窃取工具等），应识别、遏制和适当修复密码重置、用户或服务账户操纵、受损凭据等证据，并验证和确认产品的修补级别