はじめに
Oracleは、ShinyHuntersの恐喝グループによって公開された概念実証(PoC)エクスプロイトが活発に悪用されていたOracle E-Business Suiteの脆弱性(CVE-2025-61884)を、週末に緊急の帯域外セキュリティアップデートでサイレントに修正しました。この脆弱性は、認証なしでリモートから悪用可能であり、機密リソースへのアクセスを許す可能性がありました。
Oracle E-Business Suiteのゼロデイ脆弱性
Oracleの勧告によると、このセキュリティアラートはOracle E-Business Suiteの脆弱性CVE-2025-61884に対処するものです。この脆弱性は、ユーザー名とパスワードを必要とせずにネットワーク経由で悪用される可能性があり、成功すれば機密リソースへのアクセスを許す可能性があります。しかし、Oracleは、この脆弱性が攻撃で積極的に悪用されていたことや、公開エクスプロイトがリリースされていたことを開示しませんでした。
複数の研究者、顧客、およびBleepingComputerは、CVE-2025-61884のセキュリティアップデートが、リークされたエクスプロイトによって使用された認証前Server-Side Request Forgery (SSRF)の欠陥を修正していることを確認しています。
混乱を招くOracleの対応
今月初め、MandiantとGoogleは、企業がOracle E-Business Suite (EBS) システムから機密データが盗まれたと主張するメールを受け取るという新たな恐喝キャンペーンを追跡し始めました。これらのメールは、ゼロデイ脆弱性を悪用したデータ窃盗攻撃の長い歴史を持つClopランサムウェアオペレーションからのものでした。
当初、OracleはClopが2025年7月にパッチが適用されたEBSの欠陥を悪用していると述べ、顧客に最新のCritical Patch Updatesをインストールするよう助言しました。その後、Scattered Lapsus$ Hunters(別名ShinyHunters)と呼ばれる別の脅威アクターグループが、Salesforce顧客を恐喝するために使用されていたTelegramチャンネルでOracle E-Business Suiteのエクスプロイトを公開しました。Oracleは10月5日に、新たなゼロデイ(CVE-2025-61882)がEBSに影響を与えていることを確認し、緊急パッチをリリースしました。
しかし、OracleのCVE-2025-61882に関する勧告の侵害指標(IOC)の1つが、Scattered Lapsus$ Huntersによってリリースされたエクスプロイトを参照していたため、事態は混乱を極めました。このエクスプロイトは、攻撃チェーンの一部としてOracle E-Business Suiteの「/configurator/UiServlet」エンドポイントを最初に標的とします。
BleepingComputerと他のサイバーセキュリティ研究者は、CVE-2025-61882のためにOracleがリリースしたパッチを分析した結果、Clopのエクスプロイトを無効化する変更はあったものの、ShinyHunterのPoCによって悪用された脆弱性を修正する変更はなかったことを発見しました。これは、CVE-2025-61882のIOCとしてリストされていたにもかかわらずです。
CVE-2025-61882が修正された後も、顧客と研究者は、リークされたエクスプロイトのSSRFコンポーネントが、最新のパッチがインストールされていても機能することを示唆するテスト結果をBleepingComputerに伝えました。しかし、今週末のCVE-2025-61884のアップデートをインストールした後、これらの研究者と顧客は、SSRFコンポーネントが修正されたと報告しています。
BleepingComputerは、CVE-2025-61884のパッチが、攻撃者から提供された「return_url」を正規表現を使用して検証し、失敗した場合はリクエストをブロックすることを確認しました。これにより、注入されたCRLFが拒否されます。
2つの異なる脆弱性
混乱を解消するためにまとめると、以下のようになります。
- CVE-2025-61882:MandiantとCrowdStrikeが分析したClopのエクスプロイト(「/OA_HTML/SyncServlet」エンドポイントを標的)。
- CVE-2025-61884:watchTowr Labsが分析したShinyHuntersのリークされたエクスプロイト(「/configurator/UiServlet」エンドポイントを標的)。
現時点では、Oracleがどのようにエクスプロイトにパッチを適用し、IOCを不一致にしたのかは不明です。Oracleは、顧客の懸念についてBleepingComputerからの問い合わせに回答しないか、コメントを拒否しました。
推奨される対策
Oracle E-Business Suiteの顧客は、エクスプロイトチェーンと技術情報が現在公開されているため、すべての最新アップデートをインストールすることを強く推奨します。
すぐに最新のアップデートをインストールできない場合は、パッチを適用できるまで、リークされたエクスプロイトのSSRFコンポーネントを無効にするために、/configurator/UiServletへのアクセスをブロックする新しいmod_securityルールを追加する必要があります。