Oracle EBS运行时接口漏洞导致数据泄露 (CVE-2025–61884) 技术分析

CVE-2025–61884已被披露涉及 Oracle E-Business Suite (EBS)。受影响组件为 Oracle Configurator Runtime UI攻击者可在登录前通过未认证的 HTTP 请求利用该漏洞。成功利用可能导致配置相关数据被未授权访问。官方报告的受影响版本为 12.2.3–12.2.14CVSS 评分为 7.5高危。本公告应与同时披露的CVE-2025–61882远程代码执行CVSS 9.8结合阅读。现场观察表明存在链式攻击场景威胁行为者先通过 RCE 获得初始访问权限再利用 Runtime UI 漏洞窃取配置数据。对于 EBS 门户对外暴露的环境风险进一步增加。背景与重要性Configurator Runtime UI 与产品配置、价格计算、订单逻辑等关键业务流程紧密耦合。若认证前的访问控制较弱攻击者可能无需登录即可读取配置模型及相关数据价格表、业务规则、供应链标识符等。此类未授权访问可被用于权限提升、身份冒充或作为供应链攻击的情报收集。攻击中观察到的常见端点包括/OA_HTML/configurator/UiServlet某些环境中/OA_HTML/configurator/SyncServlet运维团队应优先审查近期访问日志和错误日志中针对上述路径的请求。使用 Criminal IP 追踪 Oracle EBS 中的 CVE-2025–61884可能受 CVE-2025–61884 影响且对外暴露的 Oracle EBS 门户通常在浏览器标题、HTTP 响应横幅以及特定端点路径的存在性上表现出特征签名——从而可以快速识别。在Criminal IP Asset Search威胁狩猎引擎中使用以下查询语句识别公开暴露的实例。Criminal IP 搜索查询“OA_HTML”截至 2025 年 10 月 21 日搜索“OA_HTML”返回全球 1,048 个实例。国家分布以美国、中国和印度为首美国观察到 409 个实例。为缩小到您的组织或供应链范围可组合使用org、country和port(443)等过滤器定位特定资产。识别门户后在以下代表性路径评估响应、横幅和标头以衡量暴露程度和潜在影响/OA_HTML/AppsLogin/OA_HTML/portal.jsp/OA_HTML/configurator/UiServletCriminal IP 观察到的一个 IP 具有“严重”入站风险评分、三个开放端口并在 8020 端口返回 EBS 相关响应。该主机记录了 12 个 CVE 和两起已确认的利用事件表明攻击者可通过链式利用多个漏洞实现初始访问 → 权限提升 → 数据外泄。通过 Criminal IP 黑客组织模块监控 Clop 型勒索软件活动近期针对 EBS 的零日利用活动被归因于擅长链式组合零日漏洞的有组织团伙。已观察到与 Clop 风格勒索软件及数据外泄组织一致的活动。企业客户可使用Criminal IP Hacking Group模块该模块将行为体时间线、运营区域及最新 CIP 新闻聚合至单一仪表板。即使未确认直接归属于特定组织该视图连同 IOCs入侵指标、IOAs攻击指标及支持性参考信息对于重新确定防御措施优先级仍有帮助。安全建议打补丁优先应用安全公告中列出的厂商修复。补丁前的缓解措施仅为临时方案。最小化互联网暴露将 EBS尤其是OA_HTML/Configurator端点置于 VPN 或认证代理之后并限制仅允许必需源 IP 访问。加固前端防护在反向代理/WAF 层对发往UiServlet和SyncServlet的异常方法/参数进行阻断或质询。可行情况下为受影响端点添加认证层基于标头、SSO。基于日志的检查聚合分析从 7 月中旬至今的 Web、代理/WAF 和应用错误日志重点关注UiServlet/SyncServlet请求模式、大量数据检索、会话复用以及默认账户如applmgr的异常行为。若发现可疑活动按升级步骤执行使会话/令牌失效、轮换密钥、关联内部访问与外部外泄路径。减少功能暴露最小化 Configurator 权限和数据范围尽可能禁用未使用的功能。持续监控以 7/14/30 天为周期自动化扫描上述标题/路径检测新暴露和配置变更。结论CVE-2025–61884 允许在 Oracle EBS 的 Runtime UI 中未授权访问配置数据。响应优先级明确应用补丁 → 消除外部暴露 → 进行日志取证 → 轮换密钥 → 启用持续监控。使用 Criminal IP 基于标题/路径的检测方法可提供一种一致的方式来检查内部资产和供应链暴露。与此相关您可参考《Oracle WebLogic Server 漏洞 CVE-2020–2883对服务器控制的 5 年威胁》。CSD0tFqvECLokhw9aBeRqqy7pDVE9jtHSghPeFdiPyEdNl97ZGkRR0roKUApLemYFFlWZ/cWzasrtHYyj3xdAPB4hDqoubgSZt302TIJ4Q4v2ma79IroYSkWWvj9UpozQ93QKFF7aDWzYhmhx8JbZNBcj91i8oR6rDshEpaARYTz0rMnBgiG2Ch4lx9rt更多精彩内容 请关注我的个人公众号 公众号办公AI智能小助手对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号网络安全技术点滴分享