はじめに:CISAが緊急警告、Oracle Identity Managerの深刻な脆弱性が悪用中
米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、Oracle Identity Managerに存在するリモートコード実行(RCE)の脆弱性「CVE-2025-61757」が攻撃で積極的に悪用されているとして、政府機関に対し緊急のパッチ適用を呼びかけています。この脆弱性は、すでに既知の悪用されている脆弱性(KEV)カタログに追加されており、連邦政府機関には12月12日までのパッチ適用が義務付けられています。
CVE-2025-61757の技術的詳細
この脆弱性は、Searchlight CyberのアナリストであるAdam Kues氏とShubham Shahflaw氏によって発見・開示されました。Oracle Identity ManagerのREST APIにおける認証バイパスに起因します。セキュリティフィルターが、?WSDLや;.wadlといったパラメータをURLパスに追加することで、保護されたエンドポイントを公開アクセス可能と誤認するように騙される可能性があります。
一度認証されていないアクセスが許可されると、攻撃者は通常スクリプトを実行しないコンパイルエンドポイントであるGroovyスクリプトに到達できます。しかし、Groovyの注釈処理機能を通じて、コンパイル時に悪意のあるコードを実行するよう悪用されることが判明しました。この一連の脆弱性により、攻撃者は認証前のリモートコード実行を達成することが可能となります。
ゼロデイ攻撃の可能性と現在の悪用状況
CISAは具体的な攻撃の詳細を共有していませんが、SANS Technology Instituteの研究部長であるJohannes Ullrich氏は、この脆弱性が8月30日という早い時期にゼロデイ攻撃として悪用されていた可能性があると指摘しています。Ullrich氏によると、8月30日から9月9日の間に、特定のURLへのHTTP POSTリクエストが複数回アクセスされた形跡があり、これはSearchlight Cyberが共有したエクスプロイトと一致するものです。
悪用が確認されたエンドポイントは以下の通りです。
/iam/governance/applicationmanagement/templates;.wadl/iam/governance/applicationmanagement/api/v1/applications/groovyscriptstatus;.wadl
これらの試行は3つの異なるIPアドレス(89.238.132[.]76、185.245.82[.]81、138.199.29[.]153)から行われましたが、すべて同じユーザーエージェント(Windows 10上のGoogle Chrome 60)を使用しており、単一の攻撃者によるものである可能性が示唆されています。
セキュリティ対策と推奨事項
Oracleは、この脆弱性に対する修正プログラムを2025年10月21日にリリースされた2025年10月のセキュリティアップデートの一部として提供済みです。組織は、この深刻な脆弱性による潜在的なリスクを軽減するため、直ちにシステムのパッチ適用を行うことが強く推奨されます。CISAは「この種の脆弱性は、悪意のあるサイバーアクターにとって頻繁な攻撃ベクトルであり、連邦機関にとって重大なリスクをもたらす」と警告しています。