漏洞描述

CVE-2025-61882是Oracle E-Business Suite并发处理组件中BI Publisher集成的关键（CVSS 9.8）未认证远程代码执行漏洞。该漏洞可通过HTTP远程利用，无需身份验证，允许攻击者执行任意代码并完全控制受影响系统。

威胁态势

该漏洞已在数据窃取和勒索活动中作为零日漏洞被积极利用，活动与Cl0p勒索软件组织有关。成功利用可使攻击者完全接管Oracle并发处理，为横向移动、敏感数据外泄和潜在勒索软件部署打开大门。

缓解建议

• 立即应用Oracle针对CVE-2025-61882的紧急补丁
• 阻止Oracle IoC列表和供应商威胁情报源中识别的恶意IP/连接
• 通过扫描EBS服务器查找Web Shell、异常cron作业、可疑进程或新用户来搜寻入侵迹象

FortiGuard防护覆盖

入侵防御系统（IPS）：FortiGuard IPS服务可检测并阻止针对CVE-2025-61882的利用尝试

威胁指标（IOC）和网页过滤服务：已实施针对恶意流量和C2基础设施的保护，以及与此活动相关的已知威胁指标，目前正在调查进一步防护措施

沙箱服务：提供针对已知恶意软件的保护，并使用高级行为分析检测和阻止未知威胁

事件响应服务：怀疑遭受入侵的组织可联系FortiGuard事件响应团队获取快速调查和修复支持

爆发警报

该漏洞已在数据窃取和勒索活动中作为零日漏洞被积极利用，与Cl0p勒索软件组织活动相关。成功利用可导致Oracle并发处理完全被接管，为横向移动、敏感数据外泄和潜在勒索软件部署创造条件。

附加资源

• Watchtowr Labs技术分析报告
• Oracle安全警报公告 - CVE-2025-61882