CISAが警告、連邦機関にパッチ適用を義務付け
米サイバーセキュリティ・インフラセキュリティ庁(CISA)は、Oracle E-Business Suiteのサーバーサイドリクエストフォージェリ(SSRF)脆弱性「CVE-2025-61884」が実際に攻撃で悪用されていることを確認し、これを「既知の悪用済み脆弱性」カタログに追加しました。CISAは、連邦政府機関に対し、2025年11月10日までにこのセキュリティ脆弱性に対するパッチを適用するよう義務付けています。
Oracleは10月11日にこの脆弱性を開示し、深刻度を7.5と評価していました。同社は、この脆弱性が容易に悪用可能であり、「重要なデータへの不正アクセス、またはOracle Configuratorがアクセス可能なすべてのデータへの完全なアクセス」につながる可能性があると警告していました。
脆弱性の詳細と過去の攻撃
CVE-2025-61884は、Oracle Configuratorランタイムコンポーネントにおける認証不要のSSRF脆弱性です。BleepingComputerは以前、この脆弱性が7月の攻撃で利用されたリークされたエクスプロイトに関連していると報じていました。しかし、Oracleは当初、この脆弱性が悪用されたことを公には認めていませんでした。
Clopランサムウェアと二つの攻撃キャンペーン
10月初旬、Mandiantは、ClopランサムウェアグループがOracle E-Business Suiteインスタンスからゼロデイ脆弱性を用いてデータを盗んだと主張し、企業に恐喝メールを送り始めたことを明らかにしました。これに対しOracleは、攻撃者が7月に開示された以前のパッチ適用済み脆弱性を悪用したと回答しました。
その後、ShinyHuntersがTelegramでOracleのエクスプロイトをリークし、Clopとの関連が示唆されました。Oracleは10月4日にCVE-2025-61882を開示し、リークされた概念実証コードを侵害の痕跡(IOC)の一つとして挙げました。
しかし、CrowdStrikeとMandiantによる調査の結果、Oracle EBSに対する攻撃は実際には二つの異なるキャンペーンに分かれていたことが判明しました。
- 7月キャンペーン: 「
/configurator/UiServlet」エンドポイントのSSRF脆弱性を標的としており、これがCVE-2025-61884であることが確認されました。 - 8月キャンペーン: 「
/OA_HTML/SyncServlet」エンドポイントに対する別のエクスプロイトが使用され、これはmod_securityルールによるエンドポイントのブロックとSYNCSERVLETクラスのスタブ化によりCVE-2025-61882として修正されました。この脆弱性はClopに起因するとされています。
watchTowr LabsもShinyHuntersがリークしたエクスプロイトを分析し、それがSyncServletではなくUiServletのSSRF攻撃チェーン(CVE-2025-61884)を標的としていることを確認しました。
Oracleの対応と情報混乱
Oracleは10月11日にCVE-2025-61884を開示しましたが、7月の攻撃で使われたエクスプロイトを修正したにもかかわらず、悪用されたかどうかは確認しませんでした。BleepingComputerの調査によると、CVE-2025-61884のパッチは、攻撃者から提供された「return_url」を正規表現で検証することで脆弱性に対処しています。
現在も、OracleがShinyHuntersのエクスプロイトをCVE-2025-61882のIOCとして誤ってリストした理由については不明な点が多く、BleepingComputerがOracleに問い合わせても回答は得られていません。この情報混乱は、セキュリティコミュニティ内で懸念を引き起こしています。