Oracle ยืนยันพบช่องโหว่ร้ายแรงใน Oracle E-Business Suite (EBS) CVE-2025-61882/61884 แนะให้อัปเดต IOC ในฐานข้อมูล XDO_TEMPLATES_B

มีการยืนยันช่องโหว่ร้ายแรงใน Oracle E-Business Suite (EBS) สองรายการต่อเนื่อง: CVE-2025-61882 แบบ Pre-auth RCE ผ่าน HTTP (ประกาศแพตช์ 4 ต.ค. 2025) และ CVE-2025-61884 ช่องโหว่ Runtime UI ของ Oracle Configurator ที่บายพาสยืนยันตัวตนได้ (ประกาศ 11 ต.ค. 2025) ซึ่งส่งผลให้ผู้โจมตีเข้าถึงข้อมูลสำคัญได้โดยไม่ต้องล็อกอิน แนะนำให้อัปเดตแพตช์ทันที และตรวจหา “แม่แบบ (templates)” อันตรายในตาราง XDO_TEMPLATES_B/XDO_LOBS ตามแนวทางจาก Google/Mandiant เพื่อประเมินการบุกรุกย้อนหลังและลดความเสี่ยงเร่งด่วนที่สุด โดยเฉพาะระบบที่เปิดหน้าเว็บ EBS สู่ภายนอก

1. Detail
   ภาพรวมเหตุการณ์และผลกระทบ

• 4 ต.ค. 2025: Oracle ออก Security Alert สำหรับ CVE-2025-61882 ซึ่งกระทบ EBS เวอร์ชัน 12.2.3–12.2.14 เป็นช่องโหว่ร้ายแรงที่โจมตีได้ทาง HTTP โดยไม่ต้องยืนยันตัวตน และอาจนำไปสู่การรันโค้ดระยะไกลบนเซิร์ฟเวอร์ (RCE)
• 11 ต.ค. 2025: Oracle ออก Security Alert เพิ่มสำหรับ CVE-2025-61884 ใน Oracle Configurator (Runtime UI) บน EBS เวอร์ชัน 12.2.3–12.2.14 เป็นช่องโหว่ที่ “เข้าถึงข้อมูลสำคัญได้โดยไม่ต้องยืนยันตัวตน” (CVSS 7.5 – เน้นผลกระทบด้านข้อมูล)
• Google Threat Intelligence Group/Mandiant รายงานแคมเปญรีดไถข้อมูลที่ใช้โซ่โจมตี EBS ตั้งแต่ช่วง ก.ค.–ส.ค. 2025 และให้ “แนวทางล่าหา IOC” ชี้เป้าการค้นหาแม่แบบ (templates) อันตรายในฐานข้อมูล EBS ที่ถูกใช้เป็นตัวบรรจุเพย์โหลด .

วิธีดำเนินการด่วน

1. ตรวจรุ่นและแพตช์

• ยืนยันว่า EBS อยู่ในช่วงเวอร์ชันที่ได้รับผลกระทบ (12.2.3–12.2.14) และรีบติดตั้งแพตช์ของ Oracle สำหรับ CVE-2025-61882 และ CVE-2025-61884 ตามเอกสาร Patch Availability บน My Oracle Support (ลูกค้าซัพพอร์ต Premier/Extended จะมีแพตช์ให้)

2. หา IOC ในฐานข้อมูล (ตามคำแนะนำ Google/Mandiant)

• ตรวจตาราง XDO_TEMPLATES_B และ XDO_LOBS เพื่อหาเทมเพลตที่น่าสงสัย (มักขึ้นต้นโค้ดว่า TMP/DEF หรือถูกสร้างล่าสุดผิดปกติ)
• ตรวจบันทึกการเรียกดูหน้า Template Preview และเอ็นด์พอยต์ที่ถูกโยงในแคมเปญ เช่น /OA_HTML/OA.jsp?page=/oracle/apps/xdo/oa/template/webui/TemplatePreviewPG..., /OA_HTML/configurator/UiServlet, /OA_HTML/SyncServlet
• จำกัดการเชื่อมต่อออกอินเทอร์เน็ตจากโฮสต์ EBS เพื่อตัด C2/การดึงเพย์โหลดระยะที่สอง และหากสงสัยการบุกรุกให้ทำ memory forensics กับ Java process ของแอป

3. ลดพื้นผิวโจมตีของเว็บ EBS

• จำกัดการเข้าถึง HTTP จากอินเทอร์เน็ต ให้ผ่าน VPN/Allowlist, ปิดเส้นทางที่ไม่จำเป็น, เฝ้าระวัง request แปลกไปยัง UiServlet/SyncServlet/TemplatePreviewPG และบันทึกไว้เพื่อเทียบ IOC ภายหลัง . (แนวปฏิบัติอ้างอิงจากคำแนะนำเวนเดอร์/ทีมภัยคุกคาม)

4. ดำเนินการหลังเหตุ (ถ้าพบหลักฐาน)

• เปลี่ยนรหัสผ่าน/คีย์/โทเคนทุกตัวที่ผูกกับ EBS
• ทบทวนนโยบายสิทธิ์บัญชีบริการ/อินทิเกรต, ตรวจการแก้ไขคอนฟิก BI Publisher/Template Manager ผิดปกติ และทดสอบระบบหลังแพตช์ครบถ้วนตามขั้นตอน Oracle .

ทั้งสอง CVE เปิดช่องให้เข้าถึงระบบได้โดยไม่ต้องล็อกอินผ่าน HTTP โดย CVE-2025-61882 มีความรุนแรงถึงระดับ RCE (CVSS 9.8) ขณะที่ CVE-2025-61884 ชี้ชัดว่าเข้าถึง/อ่านข้อมูลสำคัญได้ (CVSS 7.5) และมีบริบทการโจมตีจริง/การรีดไถที่ผู้เชี่ยวชาญภายนอกรายงานไว้แล้ว จึงต้องแพตช์และไล่ล่า IOC ทันที ไม่ใช่แค่ “รอรอบ CPU” ปกติ .

ที่มา : https://www.oracle.com/

• Facebook
• X
• Line