企业官网建设流程全解析

CVE-2025–61884已被披露，涉及 Oracle E-Business Suite (EBS)。受影响组件为 Oracle Configurator Runtime UI，攻击者可在登录前通过未认证的 HTTP 请求利用该漏洞。成功利用可能导致配置相关数据被未授权访问。官方报告的受影响版本为 12.2.3–12.2.14，CVSS 评分为 7.5（高危）。

本公告应与同时披露的CVE-2025–61882（远程代码执行，CVSS 9.8）结合阅读。现场观察表明存在链式攻击场景：威胁行为者先通过 RCE 获得初始访问权限，再利用 Runtime UI 漏洞窃取配置数据。对于 EBS 门户对外暴露的环境，风险进一步增加。

背景与重要性

Configurator Runtime UI 与产品配置、价格计算、订单逻辑等关键业务流程紧密耦合。若认证前的访问控制较弱，攻击者可能无需登录即可读取配置模型及相关数据（价格表、业务规则、供应链标识符等）。此类未授权访问可被用于权限提升、身份冒充或作为供应链攻击的情报收集。

攻击中观察到的常见端点包括：

• /OA_HTML/configurator/UiServlet（某些环境中）
• /OA_HTML/configurator/SyncServlet

运维团队应优先审查近期访问日志和错误日志中针对上述路径的请求。

使用 Criminal IP 追踪 Oracle EBS 中的 CVE-2025–61884

可能受 CVE-2025–61884 影响且对外暴露的 Oracle EBS 门户，通常在浏览器标题、HTTP 响应横幅以及特定端点路径的存在性上表现出特征签名——从而可以快速识别。在Criminal IP Asset Search威胁狩猎引擎中使用以下查询语句识别公开暴露的实例。

Criminal IP 搜索查询：“OA_HTML”

截至 2025 年 10 月 21 日，搜索“OA_HTML”返回全球 1,048 个实例。国家分布以美国、中国和印度为首；美国观察到 409 个实例。

为缩小到您的组织或供应链范围，可组合使用org、country和port(443)等过滤器定位特定资产。识别门户后，在以下代表性路径评估响应、横幅和标头，以衡量暴露程度和潜在影响：

• /OA_HTML/AppsLogin
• /OA_HTML/portal.jsp
• /OA_HTML/configurator/UiServlet

Criminal IP 观察到的一个 IP 具有“严重”入站风险评分、三个开放端口，并在 8020 端口返回 EBS 相关响应。该主机记录了 12 个 CVE 和两起已确认的利用事件，表明攻击者可通过链式利用多个漏洞实现初始访问 → 权限提升 → 数据外泄。

通过 Criminal IP 黑客组织模块监控 Clop 型勒索软件活动

近期针对 EBS 的零日利用活动被归因于擅长链式组合零日漏洞的有组织团伙。已观察到与 Clop 风格勒索软件及数据外泄组织一致的活动。企业客户可使用Criminal IP Hacking Group模块，该模块将行为体时间线、运营区域及最新 CIP 新闻聚合至单一仪表板。即使未确认直接归属于特定组织，该视图连同 IOCs（入侵指标）、IOAs（攻击指标）及支持性参考信息，对于重新确定防御措施优先级仍有帮助。

安全建议

打补丁
优先应用安全公告中列出的厂商修复。补丁前的缓解措施仅为临时方案。

最小化互联网暴露
将 EBS（尤其是OA_HTML/Configurator端点）置于 VPN 或认证代理之后，并限制仅允许必需源 IP 访问。

加固前端防护
在反向代理/WAF 层，对发往UiServlet和SyncServlet的异常方法/参数进行阻断或质询。可行情况下，为受影响端点添加认证层（基于标头、SSO）。

基于日志的检查
聚合分析从 7 月中旬至今的 Web、代理/WAF 和应用错误日志，重点关注UiServlet/SyncServlet请求模式、大量数据检索、会话复用以及默认账户（如applmgr）的异常行为。若发现可疑活动，按升级步骤执行：使会话/令牌失效、轮换密钥、关联内部访问与外部外泄路径。

减少功能暴露
最小化 Configurator 权限和数据范围，尽可能禁用未使用的功能。

持续监控
以 7/14/30 天为周期，自动化扫描上述标题/路径，检测新暴露和配置变更。

结论

CVE-2025–61884 允许在 Oracle EBS 的 Runtime UI 中未授权访问配置数据。响应优先级明确：应用补丁 → 消除外部暴露 → 进行日志取证 → 轮换密钥 → 启用持续监控。使用 Criminal IP 基于标题/路径的检测方法，可提供一种一致的方式来检查内部资产和供应链暴露。

与此相关，您可参考《Oracle WebLogic Server 漏洞 CVE-2020–2883：对服务器控制的 5 年威胁》。
CSD0tFqvECLokhw9aBeRqqy7pDVE9jtHSghPeFdiPyEd+Nl97ZGkRR0roKUApLemYFFlWZ/cWza+srtHYyj3xdAPB4hDqoubgSZt302+TIJ4Q4v2ma79IroYSkWWvj9UpozQ93QKFF7aDWzYhmhx8JbZNBcj91i8oR6rDshEpaARYTz0rMnBgiG2Ch4lx9rt
更多精彩内容 请关注我的个人公众号 公众号（办公AI智能小助手）
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号（网络安全技术点滴分享）