2025年7月至10月期間，針對Oracle E-Business Suite（EBS）客戶的復雜網(wǎng)絡(luò)攻擊暴露出企業(yè)資源規(guī)劃系統(tǒng)的關(guān)鍵漏洞，導致全球約100家機構(gòu)遭到入侵。此次攻擊活動被歸因于臭名昭著的Clop勒索軟件團伙，并與以經(jīng)濟利益為目的的威脅組織FIN11相關(guān)聯(lián)。攻擊者利用0Day漏洞（CVE-2025-61882）在面向互聯(lián)網(wǎng)的EBS門戶上實現(xiàn)了未經(jīng)認證的遠程代碼執(zhí)行。

目前已有近30家受害機構(gòu)被公開點名，泄露數(shù)據(jù)量從數(shù)百GB到數(shù)TB不等，涉及大量敏感企業(yè)信息。這起事件為現(xiàn)代企業(yè)面臨的不斷演變的威脅態(tài)勢敲響了警鐘。受影響的知名機構(gòu)包括哈佛大學、《華盛頓郵報》、羅技、施耐德電氣以及美國航空子公司Envoy Air，泄露數(shù)據(jù)涵蓋財務(wù)記錄、人力資源信息、供應(yīng)鏈資料和客戶詳細信息。

攻擊技術(shù)剖析：五階段攻擊鏈

被評定為CVSS 9.8分的關(guān)鍵漏洞（CVE-2025-61882）使未經(jīng)認證的攻擊者能在無需用戶交互的情況下，在Oracle EBS 12.2.3至12.2.14版本上實現(xiàn)遠程代碼執(zhí)行。該漏洞存在于Oracle Concurrent Processing組件中，在補丁發(fā)布前已被活躍利用，屬于真正的0Day威脅。

安全研究團隊watchTowr Labs發(fā)布的技術(shù)分析顯示，攻擊者串聯(lián)利用了五個不同漏洞實現(xiàn)預認證遠程代碼執(zhí)行。攻擊始于/OA_HTML/configurator/UiServlet端點中的服務(wù)器端請求偽造（SSRF）漏洞，該端點通過getUiType參數(shù)接受未經(jīng)認證用戶提交的XML文檔。當存在redirectFromJsp參數(shù)時，服務(wù)器會解析XML提取return_url并創(chuàng)建出站HTTP請求，使攻擊者能強制服務(wù)器連接任意主機。

建立SSRF控制后，攻擊者通過注入回車換行（CRLF）序列操縱請求框架并插入惡意標頭。這種CRLF注入技術(shù)使攻擊者能將簡單GET請求轉(zhuǎn)換為精心構(gòu)造的POST請求，向下游服務(wù)走私額外數(shù)據(jù)。攻擊還利用HTTP保持連接機制實現(xiàn)請求管道化，提升攻擊時序可靠性。

獲得POST型SSRF能力后，攻擊者開始瞄準通常無法從公共接口訪問的內(nèi)部服務(wù)。通過路徑遍歷技術(shù)繞過基于路徑名的認證過濾器，攻擊者能訪問受限JSP頁面（如通過路徑操縱訪問/OA_HTML/help/../ieshostedsurvey.jsp），將內(nèi)部資源轉(zhuǎn)化為可控執(zhí)行路徑。

當攻擊者抵達易受攻擊的JSP端點時，應(yīng)用程序會拼接傳入的Host標頭與/ieshostedsurvey.xsl構(gòu)造XSL樣式表URL。服務(wù)器創(chuàng)建URL對象并將其傳遞給Java的XSL處理管道，從攻擊者控制的服務(wù)器下載并執(zhí)行樣式表。由于Java XSLT支持擴展函數(shù)并能調(diào)用任意Java類，攻擊者提供的XSL文件可解碼有效載荷并調(diào)用javax.script等擴展在JVM中執(zhí)行任意代碼，最終獲得完整的遠程代碼執(zhí)行能力。

受害者分布與數(shù)據(jù)泄露情況

截至2025年11月，Clop數(shù)據(jù)泄露網(wǎng)站列出了29家聲稱受害的機構(gòu)，涵蓋教育、媒體、制造、航空航天、科技、專業(yè)服務(wù)、采礦、建筑、保險、金融服務(wù)、交通運輸、汽車、能源和暖通空調(diào)等行業(yè)。已公開確認遭入侵的機構(gòu)包括哈佛大學、南非威特沃特斯蘭德大學、美國航空子公司Envoy Air、《華盛頓郵報》和羅技。泄露網(wǎng)站上列出的主要工業(yè)企業(yè)包括施耐德電氣、艾默生、考克斯企業(yè)、泛美白銀、LKQ公司和Copeland，但多數(shù)尚未公開確認事件。

2025年11月6日，《華盛頓郵報》確認成為受害者，但拒絕透露具體細節(jié)。羅技在被列入Clop泄露網(wǎng)站后不久也披露了數(shù)據(jù)泄露事件。GlobalLogic于2025年11月11日報告稱，10,471名現(xiàn)任及前任員工的個人信息被盜，包括姓名、地址、電話號碼、緊急聯(lián)系人、電子郵箱、出生日期、國籍、護照信息、稅號、薪資信息和銀行賬戶詳情。

網(wǎng)絡(luò)犯罪分子泄露了據(jù)稱從18家受害者竊取的數(shù)據(jù)，部分數(shù)據(jù)達數(shù)百GB，有些甚至達數(shù)TB。安全研究人員進行的有限結(jié)構(gòu)分析表明，泄露文件很可能源自O(shè)racle環(huán)境，這增加了攻擊者說法的可信度。數(shù)據(jù)泄露的規(guī)模凸顯出攻擊者已全面訪問受害者的EBS系統(tǒng)，這些系統(tǒng)將財務(wù)、人力資源、供應(yīng)鏈和采購功能集成到集中式數(shù)據(jù)庫中。

威脅組織溯源與攻擊手法

此次攻擊活動具有Clop勒索軟件團伙（也被追蹤為FIN11和TA505）的典型特征。為證實勒索主張，威脅組織向多家機構(gòu)提供了從受害者EBS環(huán)境中獲取的合法文件列表，數(shù)據(jù)時間戳可追溯至2025年8月中旬。這種手法證明攻擊者確實持有竊取的數(shù)據(jù)，旨在迫使受害者支付贖金。

攻擊方法與Clop先前操作如出一轍，特別是2023年大規(guī)模利用MOVEit文件傳輸軟件漏洞的事件。該組織還被指從2024年底開始利用Cleo文件傳輸軟件漏洞，并曾攻擊Fortra文件傳輸產(chǎn)品。針對廣泛部署的企業(yè)軟件實施大規(guī)模入侵已成為該威脅組織的標志性手法。

Mandiant研究人員發(fā)現(xiàn)Oracle EBS攻擊活動與2025年10月3日Scattered Lapsus$ Hunters（又稱ShinyHunters）泄露的漏洞利用代碼存在重疊。Google威脅情報小組（GTIG）分析指出，攻擊后使用的工具與其他疑似Clop攻擊活動中部署的惡意軟件存在"邏輯相似性"。

漏洞修復時間線與防御建議

Oracle對漏洞披露的響應(yīng)分為多個階段，從最初利用到補丁發(fā)布之間存在明顯時間差。雖然公司在2025年7月發(fā)布了解決多個EBS漏洞的關(guān)鍵補丁更新，但針對（CVE-2025-61882）的緊急補丁直到2025年10月4日才發(fā)布。Mandiant確認威脅組織最早在2025年8月9日就開始利用該0Day漏洞，可疑活動甚至可能追溯至2025年7月10日，這意味著在補丁發(fā)布前存在約八周的漏洞利用窗口期。

2025年10月8日，Oracle針對（CVE-2025-61884）發(fā)布了額外安全警報，該高危漏洞影響Oracle Configurator的Runtime UI組件，可使未經(jīng)認證的遠程攻擊者通過HTTP網(wǎng)絡(luò)訪問入侵Oracle Configurator并獲取敏感資源。Oracle首席安全官Rob Duhart指出，該漏洞影響"部分部署"的Oracle E-Business Suite，具體暴露程度取決于配置情況。

美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）于2025年10月6日將（CVE-2025-61882）列入已知被利用漏洞（KEV）目錄，確認該漏洞在勒索軟件攻擊中被活躍利用。多位安全專家建議企業(yè)從本地部署的Oracle EBS遷移至基于云的Oracle Fusion Cloud Applications以增強安全性。采用SaaS模式可將部分安全責任轉(zhuǎn)移給供應(yīng)商，由其持續(xù)更新安全控制措施。

此次影響約30家機構(gòu)的Oracle EBS攻擊事件凸顯了企業(yè)面對復雜威脅時的系統(tǒng)性挑戰(zhàn)。0Day漏洞和文件型惡意軟件的利用展示了現(xiàn)代網(wǎng)絡(luò)威脅的演變趨勢，表明企業(yè)必須限制互聯(lián)網(wǎng)暴露面、保持補丁管理紀律并實施深度防御策略。該事件的影響可能超出已確認的受害者范圍，評估顯示或有超過100家機構(gòu)受到影響。使用特定Oracle EBS版本的組織應(yīng)檢查補丁狀態(tài)、尋找入侵指標并確保安全控制措施處于最新狀態(tài)。