はじめに
Oracleは、ShinyHuntersの恐喝グループによって概念実証エクスプロイトが公に漏洩し、サーバー侵害に積極的に悪用されていたOracle E-Business Suiteの脆弱性(CVE-2025-61884)を密かに修正しました。週末にリリースされた緊急セキュリティアップデートでこの欠陥に対処したとOracleは述べていますが、同社は攻撃での活発な悪用や公開されたエクスプロイトについては開示していません。
Oracleの勧告には、「このセキュリティアラートは、Oracle E-Business Suiteの脆弱性CVE-2025-61884に対処します。この脆弱性は認証なしでリモートから悪用可能であり、ユーザー名とパスワードなしでネットワーク経由で悪用される可能性があります。悪用に成功した場合、この脆弱性により機密リソースへのアクセスが許可される可能性があります」と記載されています。
CVE-2025-61884の詳細とOracleの対応
BleepingComputerを含む複数の研究者や顧客は、CVE-2025-61884のセキュリティアップデートが、漏洩したエクスプロイトで使用された認証前SSRF(Server-Side Request Forgery)の欠陥を修正したことを確認しています。BleepingComputerは、アップデートと活発な悪用に関する開示の欠如についてOracleに複数回コメントを求めましたが、返答はありませんでした。
混乱を招くOracleのゼロデイ問題
今月初め、MandiantとGoogleは、企業がOracle E-Business Suite(EBS)システムから機密データが盗まれたと主張するメールを受け取る新しい恐喝キャンペーンを追跡し始めました。これらのメールは、広範なデータ窃取攻撃でゼロデイの欠陥を悪用してきた長い歴史を持つClopランサムウェア作戦からのものでした。
Clopは攻撃の詳細を共有しませんでしたが、BleepingComputerに対し、彼らがメールの背後にいることを確認し、データ窃取攻撃で新しいOracleの欠陥が悪用されたと主張しました。当初、OracleはClopが2025年7月にパッチが適用されたEBSの欠陥を悪用していると述べ、顧客に最新のCritical Patch Updatesがインストールされていることを確認するよう助言しました。
その後、Scattered Lapsus$ Hunters(ShinyHuntersとしても知られる)という別の脅威アクターグループが、Salesforce顧客を恐喝するために使用されていたTelegramチャンネルでOracle E-Business Suiteのエクスプロイトを公開しました。Oracleは10月5日に、新しいゼロデイ(CVE-2025-61882)がEBSに影響を与えていることを確認し、緊急パッチをリリースしました。注目すべきは、Oracleの勧告における侵害の兆候(IOC)の1つが、Scattered Lapsus$ Huntersがリリースしたエクスプロイトを参照しており、関連性を示唆していたことです。
技術的分析とパッチの不一致
この状況は、Oracleや他のセキュリティベンダーの沈黙により、さらに混乱を招いています。エクスプロイトが漏洩した際、watchTowr Labsの研究者はそれを分析し、サーバー上で認証なしのリモートコード実行を実行できることを確認しました。この漏洩したエクスプロイトは、攻撃チェーンの一部としてOracle E-Business Suiteの「/configurator/UiServlet」エンドポイントを最初に標的とします。
しかし、CrowdStrikeとMandiantは後に、Clop恐喝グループが2025年8月に悪用したとみられる全く異なる脆弱性を開示しました。このエクスプロイトは「/OA_HTML/SyncServlet」エンドポイントを最初に標的とします。Mandiantの研究者は、Scattered Lapsus$ Hunterの漏洩したPoCエクスプロイトがUiServletを標的としたものと同様の悪用活動を2025年7月に観測したとも述べています。
BleepingComputerと他のサイバーセキュリティ研究者は、CVE-2025-61882のためにOracleがリリースしたパッチを分析しました。その結果、Clopのエクスプロイトを無効にする変更はあったものの、CVE-2025-61882のIOCとしてリストされていたShinyHuntersのPoCエクスプロイトによって悪用された脆弱性を修正する変更はなかったことが判明しました。さらに、CVE-2025-61882が修正された後も、漏洩したエクスプロイトのSSRFコンポーネントが機能し続けることが顧客や研究者によって報告されていました。
しかし、今週末のCVE-2025-61884のアップデートをインストールした後、SSRFコンポーネントが修正されたと報告されています。BleepingComputerは、CVE-2025-61884のパッチが、攻撃者提供の「return_url」を正規表現を使用して検証し、失敗した場合はリクエストをブロックするようになったことを確認しました。この正規表現は厳密な文字セットのみを許可し、パターンを固定するため、注入されたCRLFは拒否されます。
顧客への推奨事項
Oracle E-Business Suiteの顧客は、エクスプロイトチェーンと技術情報が現在公開されているため、すべての最新アップデートをインストールすることが強く推奨されます。すぐに最新のアップデートをインストールできない場合は、パッチを適用できるまで、「/configurator/UiServlet」へのアクセスをブロックする新しいmod_securityルールを追加して、漏洩したエクスプロイトのSSRFコンポーネントを無効にする必要があります。
混乱のまとめ
- CVE-2025-61882: MandiantとCrowdStrikeが分析したClopのエクスプロイトに関連。
- CVE-2025-61884: watchTowr Labsが分析したShinyHuntersの漏洩エクスプロイトに関連。
現時点では、Oracleがこのような方法でエクスプロイトにパッチを適用し、IOCを不一致にした理由は不明です。BleepingComputerはOracleに顧客の懸念について連絡しましたが、返答がないか、コメントを拒否されました。MandiantはBleepingComputerに対し、質問に答えることができないと述べました。CrowdStrikeとwatchTowr Labsは、脆弱性に関する質問についてOracleに問い合わせるよう促しました。