2025年7月至10月期间，针对Oracle E-Business Suite（EBS）客户的复杂网络攻击暴露出企业资源规划系统的关键漏洞，导致全球约100家机构遭到入侵。此次攻击活动被归因于臭名昭著的Clop勒索软件团伙，并与以经济利益为目的的威胁组织FIN11相关联。攻击者利用0Day漏洞（CVE-2025-61882）在面向互联网的EBS门户上实现了未经认证的远程代码执行。

目前已有近30家受害机构被公开点名，泄露数据量从数百GB到数TB不等，涉及大量敏感企业信息。这起事件为现代企业面临的不断演变的威胁态势敲响了警钟。受影响的知名机构包括哈佛大学、《华盛顿邮报》、罗技、施耐德电气以及美国航空子公司Envoy Air，泄露数据涵盖财务记录、人力资源信息、供应链资料和客户详细信息。

攻击技术剖析：五阶段攻击链

被评定为CVSS 9.8分的关键漏洞（CVE-2025-61882）使未经认证的攻击者能在无需用户交互的情况下，在Oracle EBS 12.2.3至12.2.14版本上实现远程代码执行。该漏洞存在于Oracle Concurrent Processing组件中，在补丁发布前已被活跃利用，属于真正的0Day威胁。

安全研究团队watchTowr Labs发布的技术分析显示，攻击者串联利用了五个不同漏洞实现预认证远程代码执行。攻击始于/OA_HTML/configurator/UiServlet端点中的服务器端请求伪造（SSRF）漏洞，该端点通过getUiType参数接受未经认证用户提交的XML文档。当存在redirectFromJsp参数时，服务器会解析XML提取return_url并创建出站HTTP请求，使攻击者能强制服务器连接任意主机。

建立SSRF控制后，攻击者通过注入回车换行（CRLF）序列操纵请求框架并插入恶意标头。这种CRLF注入技术使攻击者能将简单GET请求转换为精心构造的POST请求，向下游服务走私额外数据。攻击还利用HTTP保持连接机制实现请求管道化，提升攻击时序可靠性。

获得POST型SSRF能力后，攻击者开始瞄准通常无法从公共接口访问的内部服务。通过路径遍历技术绕过基于路径名的认证过滤器，攻击者能访问受限JSP页面（如通过路径操纵访问/OA_HTML/help/../ieshostedsurvey.jsp），将内部资源转化为可控执行路径。

当攻击者抵达易受攻击的JSP端点时，应用程序会拼接传入的Host标头与/ieshostedsurvey.xsl构造XSL样式表URL。服务器创建URL对象并将其传递给Java的XSL处理管道，从攻击者控制的服务器下载并执行样式表。由于Java XSLT支持扩展函数并能调用任意Java类，攻击者提供的XSL文件可解码有效载荷并调用javax.script等扩展在JVM中执行任意代码，最终获得完整的远程代码执行能力。

受害者分布与数据泄露情况

截至2025年11月，Clop数据泄露网站列出了29家声称受害的机构，涵盖教育、媒体、制造、航空航天、科技、专业服务、采矿、建筑、保险、金融服务、交通运输、汽车、能源和暖通空调等行业。已公开确认遭入侵的机构包括哈佛大学、南非威特沃特斯兰德大学、美国航空子公司Envoy Air、《华盛顿邮报》和罗技。泄露网站上列出的主要工业企业包括施耐德电气、艾默生、考克斯企业、泛美白银、LKQ公司和Copeland，但多数尚未公开确认事件。

2025年11月6日，《华盛顿邮报》确认成为受害者，但拒绝透露具体细节。罗技在被列入Clop泄露网站后不久也披露了数据泄露事件。GlobalLogic于2025年11月11日报告称，10,471名现任及前任员工的个人信息被盗，包括姓名、地址、电话号码、紧急联系人、电子邮箱、出生日期、国籍、护照信息、税号、薪资信息和银行账户详情。

网络犯罪分子泄露了据称从18家受害者窃取的数据，部分数据达数百GB，有些甚至达数TB。安全研究人员进行的有限结构分析表明，泄露文件很可能源自Oracle环境，这增加了攻击者说法的可信度。数据泄露的规模凸显出攻击者已全面访问受害者的EBS系统，这些系统将财务、人力资源、供应链和采购功能集成到集中式数据库中。

威胁组织溯源与攻击手法

此次攻击活动具有Clop勒索软件团伙（也被追踪为FIN11和TA505）的典型特征。为证实勒索主张，威胁组织向多家机构提供了从受害者EBS环境中获取的合法文件列表，数据时间戳可追溯至2025年8月中旬。这种手法证明攻击者确实持有窃取的数据，旨在迫使受害者支付赎金。

攻击方法与Clop先前操作如出一辙，特别是2023年大规模利用MOVEit文件传输软件漏洞的事件。该组织还被指从2024年底开始利用Cleo文件传输软件漏洞，并曾攻击Fortra文件传输产品。针对广泛部署的企业软件实施大规模入侵已成为该威胁组织的标志性手法。

Mandiant研究人员发现Oracle EBS攻击活动与2025年10月3日Scattered Lapsus$ Hunters（又称ShinyHunters）泄露的漏洞利用代码存在重叠。Google威胁情报小组（GTIG）分析指出，攻击后使用的工具与其他疑似Clop攻击活动中部署的恶意软件存在"逻辑相似性"。

漏洞修复时间线与防御建议

Oracle对漏洞披露的响应分为多个阶段，从最初利用到补丁发布之间存在明显时间差。虽然公司在2025年7月发布了解决多个EBS漏洞的关键补丁更新，但针对（CVE-2025-61882）的紧急补丁直到2025年10月4日才发布。Mandiant确认威胁组织最早在2025年8月9日就开始利用该0Day漏洞，可疑活动甚至可能追溯至2025年7月10日，这意味着在补丁发布前存在约八周的漏洞利用窗口期。

2025年10月8日，Oracle针对（CVE-2025-61884）发布了额外安全警报，该高危漏洞影响Oracle Configurator的Runtime UI组件，可使未经认证的远程攻击者通过HTTP网络访问入侵Oracle Configurator并获取敏感资源。Oracle首席安全官Rob Duhart指出，该漏洞影响"部分部署"的Oracle E-Business Suite，具体暴露程度取决于配置情况。

美国网络安全和基础设施安全局（CISA）于2025年10月6日将（CVE-2025-61882）列入已知被利用漏洞（KEV）目录，确认该漏洞在勒索软件攻击中被活跃利用。多位安全专家建议企业从本地部署的Oracle EBS迁移至基于云的Oracle Fusion Cloud Applications以增强安全性。采用SaaS模式可将部分安全责任转移给供应商，由其持续更新安全控制措施。

此次影响约30家机构的Oracle EBS攻击事件凸显了企业面对复杂威胁时的系统性挑战。0Day漏洞和文件型恶意软件的利用展示了现代网络威胁的演变趋势，表明企业必须限制互联网暴露面、保持补丁管理纪律并实施深度防御策略。该事件的影响可能超出已确认的受害者范围，评估显示或有超过100家机构受到影响。使用特定Oracle EBS版本的组织应检查补丁状态、寻找入侵指标并确保安全控制措施处于最新状态。

参考来源：

Lessons from Oracle E-Business Suite Hack That Allegedly Compromises Nearly 30 Organizations Worldwide