概述
数据窃取和勒索活动正在积极利用Oracle E-Business Suite中的零日漏洞进行攻击,这些活动与Cl0p勒索软件组织有关。成功利用该漏洞能够完全控制Oracle Concurrent Processing,为横向移动、敏感数据外泄和潜在的勒索软件部署打开大门。
分析
常见漏洞和暴露
CVE-2025-61882
背景
CVE-2025-61882是Oracle E-Business Suite的Concurrent Processing组件中BI Publisher集成的一个关键(CVSS 9.8)未认证远程代码执行漏洞。该漏洞可通过HTTP远程利用,无需身份验证,允许攻击者执行任意代码并完全破坏受影响系统。Cl0p是此前大规模利用、数据窃取和勒索活动的幕后组织,影响了MOVEit和其他托管文件传输解决方案的客户。
威胁雷达
- 总体评分:4.6
- CVSS评分:9.8
- FortiRecon评分:95/100
- 已知被利用:是
- 利用预测评分:81.91%
- FortiGuard遥测:22881
最新进展
Oracle已发布带外安全补丁来解决此问题。强烈建议所有易受攻击的EBS部署立即打补丁或实施补偿控制。
- 2025年10月06日:FortiGuard发布威胁信号
- 2025年10月05日:报告称Clop大规模利用多个Oracle E-Business Suite漏洞进行数据窃取和勒索
- 2025年10月04日:Oracle发布紧急安全更新以解决CVE-2025-61882
FortiGuard网络安全框架
保护
- AV(防病毒)
- AV(预过滤)
- IPS(入侵防护系统)
检测
- IOC(入侵指标)
- 疫情检测
响应
- 自动响应
- 辅助响应服务
恢复
- NOC/SOC培训
- 最终用户培训
识别
- 攻击面监控(内部和外部)
- 攻击面加固
威胁情报
入侵指标列表
| 指标 | 类型 | 状态 |
|---|---|---|
| 104.194.11.200 | ip | 活跃 |
| 104.194.11.200:443 | ip | 活跃 |
| 161.97.99.49 | ip | 活跃 |
| 162.55.17.215 | ip | 活跃 |
| 162.55.17.215:443 | ip | 活跃 |
显示27个条目中的1到5个
入侵指标威胁活动
- 过去24小时:1215
- 趋势:-27%
顶级目标国家(过去7天)
- 美国:284,802
- 澳大利亚:40,952
- 新西兰:30,247
- 德国:27,831
顶级目标行业(过去7天)
- 科技:84,720
- 银行/金融/保险:51,069
- 零售/酒店:43,666
- 医疗保健:39,754
防护措施
入侵防护
Oracle E-Business Suite UiServlet远程代码执行
- 过去24小时:2843
- 趋势:1%
防病毒
Python/Agent 9BB1!tr
- 过去24小时:0
- 趋势:0%
Python/Agent D6F1!tr
- 过去24小时:0
- 趋势:0%
参考资料
- watchTowr Labs
- 关于FortiGuard疫情警报