美国航空(American Airlines)旗下子公司Envoy Air周末证实其商用系统Oracle E-Business Suite遭到黑客入侵,成为甲骨文商用软件第二家知名受害组织。
总部位于德州的Envoy Air为美航子公司。公司有20,000多名员工,拥有160多架飞机。Envoy Air本周对包括路透社及Bleeping Computer证实,得知甲骨文(Oracle)E-Business Suite应用系统发生安全事件。该公司得知此事后立即展开调查,也通知了执法机关。
Envoy Air说明,详细的数据审视显示,没有敏感或客户数据受到影响,但小部分业务资讯和商业联系资讯可能外流。
上周勒索软件组织Cl0p上周在暗网上将美航列入受害者清单,宣称是从Oracle E-Business Suite取得的数据。根据路透社报道,美航将媒体求证信件传给了Envoy Air,显示受害者并非母公司。Cl0p扬言将公开Envoy Air的外流数据,因为他们“根本不在乎客户,不关心安全。”
虽然Envoy Air运营独立于美航之外,但是两公司的开票、航班安排及客户服务系统是相连的。
Envoy Air是自上周Cl0p宣称手中掌握哈佛大学Oracle E-Business Suite数据后,第二家知名受害组织。
Oracle E-Business Suite是继Salesforce后,另一个让大量企业用户被当黑客提款机的重要系统。不同的是,Salesforce的资讯外流并非起于软件漏洞,而是第三方系统如Salesloft Drift访问凭证外流,而Oracle E-Business Suite安全事件根源自于软件漏洞,还有甲骨文的资讯不公告。
甲骨文两周前接连发布E-Business Suite的CVE-2025-61882及CVE-2025-61884二项安全公告,但拜甲骨文缺乏即时安全公告,以及资讯误植之赐,引发一阵混乱。10月初甲骨文公告CVE-2025-61882,还列出有滥用程序及IoC,甲骨文当时仅说漏洞可能遭到滥用。
但是这公告很快被关注攻击行动的Google/Mandiant安全人员披露,早在7月Oracle E-Business Suite就有一项漏洞被滥用(随后Cl0p证实),然甲骨文却只字未提。而且,研究人员还指出CVE-2025-61882公告列出的IoC,其实指向另一个完全不同的漏洞。二天后,甲骨文才公布第二则安全公告修正说法,IoC是指向CVE-2025-61884。而且,媒体关注后才厘清,滥用程序是由另一知名黑客组织ShinyHunters或Scattered Lapsus$ Hunters所发布。
Google Threat Intelligence Group及Mandiant相信,受害者可能高达数十家企业或组织。
