谷歌披露:俄罗斯黑客利用Oracle漏洞攻击逾百家企业
谷歌于周四披露,一场针对甲骨文(Oracle)企业级软件的大规模网络攻击,已导致全球数十家乃至可能超过百家组织机构的数据遭到泄露,这标志着2025年迄今为止最大规模的企业数据泄露事件之一。与俄罗斯相关的CL0P勒索软件团伙利用一个零日漏洞,成功窃取了敏感的商业数据,并勒索高达5000万美元的赎金。
这次攻击活动最早可追溯到2025年7月,其目标直指甲骨文的E-Business Suite——这款关键软件被数千家企业广泛应用于财务管理、工资处理和供应链运营。谷歌分析师奥斯汀·拉森(Austin Larsen)向媒体透露,虽然目前已确认数十家受害者,但预计实际受影响的企业数量将远超此数。根据CL0P团伙过往攻击活动的规模判断,受害者总数很可能已超过一百家。
零日漏洞:大规模数据泄露的幕后推手
谷歌威胁情报小组(Google’s Threat Intelligence Group)和Mandiant的安全研究人员证实,CL0P团伙利用了CVE-2025-61882这一关键漏洞。该漏洞的CVSS评分为9.8,允许未经身份验证的远程代码执行。首次已知的漏洞利用发生在2025年8月9日,比甲骨文在10月4日发布紧急补丁早了数周。
谷歌方面指出,“这种程度的投入表明,负责初始入侵的威胁行为者可能为攻击前的研究投入了大量资源。”该漏洞影响甲骨文E-Business Suite的12.2.3至12.2.14版本,使攻击者无需用户名或密码即可完全控制系统。
CL0P团伙的复杂攻击链包括:首先通过甲骨文的SyncServlet绕过身份验证,然后通过XML Publisher模板管理器上传恶意模板以执行命令并建立持久后门。该团伙在向企业高管发送勒索邮件之前,已窃取了包括工资记录、供应商合同和财务交易在内的大量敏感数据。
企业面临广泛影响与紧急应对
这次数据泄露迫使众多组织机构不得不暂时关闭其ERP服务器进行取证分析和打补丁,从而中断了工资处理、订单管理和财务报告系统。部分公司在部署补丁时遇到延迟,因为甲骨文的紧急更新需要先安装2023年10月的一个早期基线补丁。
谷歌表示,在此次攻击活动中,“大量客户数据”遭到泄露。这种数据暴露可能导致违反GDPR和CCPA等数据保护法规,为受影响的组织机构带来额外的财务和声誉风险。
漏洞公开披露后,相关利用脚本开始在网上流传,促使包括CISA在内的网络安全机构发出警告。CISA已将CVE-2025-61882添加到其“已知被利用漏洞”目录中。甲骨文已敦促所有E-Business Suite客户立即应用紧急补丁,以防止进一步的攻击利用。
