Oracle E-Business Suiteのゼロデイ攻撃-Google/Mandiantが実装手口と防御策を発表

セキュリティニュース

投稿日時: 更新日時:

Oracle E-Business Suiteのゼロデイ攻撃-Google/Mandiantが実装手口と防御策を発表

Google Threat Intelligence Group(GTIG)とMandiantは、Oracle(オラクル) E-Business Suite(以下、EBS)を標的にした大規模なサイバー攻撃キャンペーンを確認したと公表しました。

攻撃者はハッカー集団CL0P(クロップ)ブランドを名乗り、2025年9月29日以降、各社の経営層に対して「EBSから機密データを盗んだ」と主張するメールを大量に送り付けています。表向きの恐喝メールは突然の通告のように見えますが、実際には数週間から数か月に及ぶ静かな侵入とデータ収集の後段として発動していることが、今回の分析で明らかになりました。Oracleは2025年10月4日に緊急パッチ(CVE-2025-61882)を案内しており、すでに実害が生じている前提での確認と封じ込めが必要になります。

概要

今回のキャンペーンは、少なくとも8月9日にはゼロデイ脆弱性を用いた侵入が始まっていたと推定されています。

さらにさかのぼると、7月10日頃にはEBS向けに不審なHTTPトラフィックが観測されており、7月中には /OA_HTML/configurator/UiServlet を狙うアクセスも確認されています。CL0Pブランドの恐喝は9月29日から一斉送信という形で表面化しましたが、

その裏ではEBS環境に対する踏み込みと持続化の準備が周到に進められていた可能性が高いです。

10月2日、Oracleは「7月に修正済みの脆弱性の悪用可能性」に言及し、最新のクリティカル・パッチの適用を改めて促しました。10月4日には未認証リモートコード実行につながる脆弱性(CVE-2025-61882)として緊急パッチを正式に公表し、対象組織に直ちに適用するよう求めています。攻撃者はパッチ公開の前からゼロデイとして悪用を進め、公開後はPoC(概念実証)流出の影響も相まって追随する攻撃者が増える可能性があります。

誰が攻撃しているのか-CL0P?

攻撃キャンペーンで利用されている恐喝メールには、CL0Pのリークサイトで以前から使われている連絡先([email protected]/ [email protected]が記載されています。

CL0Pは2020年以降、Accellion FTA、MOVEit、GoAnywhere、Cleoなどのマネージド・ファイル・トランスファー(MFT)製品のゼロデイ脆弱性の悪用を繰り返してきました。

背後の運用はしばしばFIN11系と結び付けて語られますが、近年は同ブランドを複数クラスタが共有的に使っている兆しもあります。

今回もCL0Pの看板以外に、メモリ常駐のダウンローダ「GOLDVEIN.JAVA」など、過去にFIN11系で観測された系譜のツール群との連続性が指摘されています。

ただし、GTIG/Mandiantは現時点で特定グループへの断定的な帰属は避けています。

侵入チェーンの内側——テンプレート注入とメモリ常駐の組み合わせ

攻撃の要は、EBSに内蔵されるXML Publisher(XDO)テンプレート機能の悪用です。攻撃者はまず /OA_HTML/SyncServlet に対してPOSTを投げ、EBSデータベース内の XDO_TEMPLATES_B に新規テンプレートを登録します。テンプレートコードは「TMP」または「DEF」で始まる命名が繰り返し使われています。

次に /OA_HTML/OA.jsp?page=/oracle/apps/xdo/oa/template/webui/TemplatePreviewPG&TemplateCode=... にアクセスし、プレビュー機能を踏み台にテンプレートに埋め込んだXSLTを実行させます。XSL内にはBase64で隠したスクリプトと javax.script.ScriptEngine を用いた評価処理が組み込まれており、これによってファイルに痕跡を残さないメモリ常駐のJavaコードが展開されます。

展開先のコンポーネントは単発ではありません。

まず「GOLDVEIN.JAVA」というJava版ダウンローダがHTTPSでTLSv3.1を偽装したビーコン通信を行い、次段を引き込みます。さらに「SAGEGIFT → SAGELEAF → SAGEWAVE」という多段のサーブレット・フィルタ連鎖が導入され、

特定のパス(例:/help/state/content/destination./navId.1/navvSetId.iHelp/)にリクエストが来た時だけ、AESで暗号化されたZIPからクラスを反射的に読み込んで機能を差し込みます。

ログをHTMLコメント内に紛れ込ませて結果を回収する設計や、ヘッダー X-ORACLE-DMS-ECID に特定値を要求するバリアなど、運用者目線の痕跡と検知リスクを最小化しようとしている所が見て取れます。

どこが狙われ、何が手掛かりになるのか——高精度の兆候

入口としては少なくとも二系統が併用されました。

7月の時点から痕跡が出ている /OA_HTML/configurator/UiServlet

そして8月以降に未認証RCEの起点として多用された /OA_HTML/SyncServlet です。

テンプレートのプレビューを発火させる TemplatePreviewPG へのアクセスのうち、クエリパラメータ TemplateCode が「TMP」または「DEF」で始まるものは、侵入の高精度なインジケータです。

ネットワーク的には、

200.107.207.26161.97.99.49 からの不自然なリクエスト、

162.55.17.215:443104.194.11.200:443 に向かう外向き通信が観測値として挙げられています。

もっとも、同一犯かは断定できず、パッチ公開後に失敗ログが増えたことから、派生の追随攻撃が混ざっている可能性も見込むべきだとしています。。

なぜ効いたのか

EBSのように業務の中枢データと連携機能を備えた外向きアプリケーションは、侵入口と収穫場所が一致しているため、横移動なしで価値の高い成果に届きます。テンプレート機能という正規の機構を足がかりに、メモリ常駐のローダとフィルタで痕跡を極小化する今回の設計は、EDRのシグネチャやファイル監視だけでは取りこぼしが生じやすい構造です。

今すぐ着手すること パッチ適用

第一に、Oracleが10月4日に告知した緊急パッチ(CVE-2025-61882)の適用を最優先で実施すべきです。

そのうえで、すでに侵入されている前提での棚卸しと封じ込めに移ります。

EBSデータベースの XDO_TEMPLATES_BXDO_LOBS を作成日時の新しい順に精査し、「TMP/DEF」で始まるテンプレートや、XSLT内部にBase64の長いデータ列とScriptEngine呼び出しが含まれる不審なテンプレートを一つずつ確認してください。SQLであれば次のような観点が役立ちます。

  • SELECT * FROM XDO_TEMPLATES_B ORDER BY CREATION_DATE DESC;

  • SELECT * FROM XDO_LOBS ORDER BY CREATION_DATE DESC;

ネットワーク面では、EBSサーバからインターネットへの不要な外向き通信を原則遮断し、どうしても必要な宛先だけをホワイトリストにするのが堅実です。

WAFやリバースプロキシでは、/OA_HTML/OA.jsp?page=/oracle/apps/xdo/oa/template/webui/TemplatePreviewPG への異常な呼び出し、/OA_HTML/configurator/UiServlet/OA_HTML/SyncServlet への連続アクセスを重点監視してください。Javaプロセスのメモリフォレンジックは手間がかかりますが、今回のように「メモリで完結するロード→実行」が中核のケースでは、ディスクに現れない決定的証拠を拾える可能性が最も高い手段です。

運用プロセスの見直しも後回しにすべきではありません。EBSに対する外部公開範囲の棚卸し、テンプレート管理の権限と監査の強化、アプリ層ログの保持延長、そして「プレビュー系の機能を境界で絞る」ためのリバースプロキシルール見直しは、次の同種攻撃に対する抵抗力を底上げします。

出典

Oracle E-Business Suite Zero-Day Exploited in Widespread Extortion Campaign