概要：Oracle E-Business Suiteに深刻なゼロデイ脆弱性

Oracleは、Oracle E-Business Suiteに影響を与えるリモートコード実行のゼロデイ脆弱性について緊急のセキュリティ警告を発しました。この脆弱性は認証なしで悪用可能であり、CVE-2025-61882として追跡されています。サイバーセキュリティ研究者rxerium氏によって、この脆弱性を検出するための公開された概念実証（PoC）がリリースされました。

脆弱性の詳細

この脆弱性は、Oracle E-Business Suiteのバージョン12.2.3から12.2.14に影響を与え、CVSS 3.1スコアは最大9.8と評価されており、その深刻度を示しています。Oracleのセキュリティアドバイザリによると、この欠陥はネットワーク経由でリモートから悪用可能であり、ユーザー名やパスワードの認証情報を必要としないため、公開されているシステムにとって特に危険です。

脆弱性はOracle Concurrent Processing BI Publisher Integrationコンポーネント内に存在し、HTTPプロトコルを利用して悪用されます。攻撃が成功した場合、機密性、完全性、可用性に大きな影響を与え、システムが完全に侵害される可能性があります。

検出方法とIoC

セキュリティ研究者rxerium氏は、脆弱なOracle E-Business Suiteインスタンスを特定するために特別に設計されたNuclei検出テンプレートを開発し、公開しました。この検出方法は、「E-Business Suite Home Page」のテキストをチェックし、Last-Modifiedヘッダーの日付を2025年10月4日と比較することで機能します。このタイムスタンプより前のLast-Modified日付を持つシステムは、必要なセキュリティパッチが適用されていない可能性があるため、脆弱であるとフラグが立てられます。

検出テンプレートはrxerium氏のGitHubリポジトリで入手可能であり、Nuclei脆弱性スキャナーを使用して実行できます。研究者は、脆弱なシステムを特定する際の精度を高めるために、スキャンに特定のポートを含めることを推奨しています。

Oracleのアドバイザリには、実環境での潜在的な悪用を示唆する懸念される侵害の兆候（IoC）が含まれています。これには、不審なIPアドレス（200.107.207.26および185.181.60.11）からのGETおよびPOSTアクティビティ、およびアウトバウンドTCP接続を確立することを目的とした悪意のあるコマンド実行試行が含まれます。セキュリティチームは、「oracle_ebs_nday_exploit_poc_scattered_lapsus_retard_cl0p_hunters.zip」という名前のZIPファイルや関連するPythonエクスプロイトスクリプトなど、悪用試行に関連する特定のファイルハッシュを監視する必要があります。これらの指標は、脅威アクターがすでにこの脆弱性を悪用している可能性を示唆しています。

Oracleの推奨事項

Oracleは、この警告で提供されているセキュリティアップデートを直ちに適用することを強く推奨しています。影響を受けるOracle E-Business Suiteバージョンを実行している組織は、パッチ適用を優先する必要があります。2023年10月のCritical Patch Updateが、これらの緊急修正を適用するための前提条件となります。

この脆弱性の重大な性質と検出方法の利用可能性を考慮し、セキュリティチームは、脅威アクターがこの危険な欠陥を悪用する前に、Oracle E-Business Suiteインフラストラクチャの即時スキャンを実施して、潜在的に脆弱なシステムを特定する必要があります。

元記事: https://gbhackers.com/poc-released-oracle-e-business-suite-0-day/