はじめに
CrowdStrikeは、Oracle E-Business Suiteにおける新たなゼロデイ脆弱性(CVE-2025-61882)が、大規模なデータ流出キャンペーンで積極的に悪用されていると警告しています。CrowdStrike Intelligenceは、このキャンペーンの主な関与をGRACEFUL SPIDER脅威グループに帰属させ、公開された概念実証(PoC)の詳細がさらなる攻撃を誘発するだろうと述べています。
脆弱性の詳細と悪用の経緯
この脆弱性の最初の悪用は、2025年8月9日にOracle E-Business Suiteにおける認証不要のリモートコード実行(RCE)として疑われました。CrowdStrike Intelligenceは、このゼロデイ脆弱性(CVE-2025-61882)が、インターネットに公開されたEBSアプリケーションを標的としたデータ窃盗の大規模な悪用キャンペーンの根本原因であると追跡しています。
2025年9月29日までに、GRACEFUL SPIDERのオペレーターは、被害者のOracle EBS環境から機密データにアクセスし、抽出したと主張する電子メールを複数の組織に送信しました。さらに、2025年10月3日には、Telegramチャンネルの参加者がCVE-2025-61882の悪用コードと思われるものを投稿し、SCATTERED SPIDER、SLIPPY SPIDER、ShinyHunters間の協力関係を示唆しました。この投稿にはSHA256ハッシュ(76b6d36e04e367a2334c445b51e1ecce97e4c614e88dfb4f72b104ca0f31235d)が含まれていました。Oracleのセキュリティアドバイザリも、このPoCを侵害の指標として公開しており、悪用がすでに進行中であることを示しています。
技術的な悪用メカニズム
Oracleは2025年10月4日にCVE-2025-61882を公開し、Oracle E-Business Suite内の認証不要RCE脆弱性として説明しています。悪用チェーンは、/OA_HTML/SyncServletへのHTTP POSTリクエストから始まり、認証をバイパスして(しばしば管理者アカウントを偽装して)、XML Publisher Template Managerを介したコード実行への道を開きます。
- 攻撃者は、悪意のあるXSLTテンプレートをアップロードするために、
/OA_HTML/RF.jspおよび/OA_HTML/OA.jspに対してGETおよびPOSTリクエストを発行します。 - このテンプレートは、プレビュー時に任意のコマンドを実行します。
- 悪用が成功すると、Javaウェブサーバープロセスから攻撃者制御のインフラストラクチャへのアウトバウンド接続がポート443経由で確立されます。
- CrowdStrikeは、脅威アクターがこのチャネルを使用してウェブシェルをリモートで展開し、永続性とさらなるコマンド実行能力を獲得していることを確認しています。
- いくつかのインシデントでは、攻撃者が
FileUtils.javaをロードし、それがLog4jConfigQpgsubFilter.javaをフェッチしました。これらはそれぞれダウンローダーおよびバックドアとして機能し、後者は/OA_HTML/help/state/content/destination./navId.1/navvSetId.iHelp/にアクセスする際のdoFilterチェーンを介して呼び出されました。
Oracleのアドバイザリには、悪意のあるIPアドレス、観測されたコマンド、ファイル名などの侵害の指標(IOC)が含まれており、実環境での悪用の証拠を強調しています。
影響と推奨事項
CrowdStrike Intelligenceは、10月3日のPoCの公開とOracleによるパッチの迅速なリリースが、特にOracle E-Business Suiteに精通している他の脅威アクターを、日和見的な攻撃のために悪用コードを武器化するよう動機づけるだろうと警告しています。歴史的な傾向は、公開されたPoCが悪用開発を加速させ、潜在的な攻撃者のプールを広げ、標的型キャンペーンを広範な日和見的侵入へと移行させることを示しています。
Oracle EBSを運用する組織は、リスクを軽減するために以下の行動を優先すべきです。
- OracleのCVE-2025-61882セキュリティアップデートを直ちに適用する。
- EBSインスタンスからの既知の悪意のあるインフラストラクチャへのアウトバウンド接続を監視し、予期しないネットワークアクティビティを調査する。
xdo_templates_vlデータベーステーブルを照会し、PoCの参照と一致する不正なテンプレートエントリがないか確認する。icx_sessions内のsysadmin(UserID 0)およびguest(UserID 6)セッションをレビューし、認証バイパスを示す異常がないか確認する。- EBS環境の直接インターネットアクセスを無効にするか、悪意のあるリクエストをフィルタリングするためにウェブアプリケーションファイアウォール(WAF)を展開することを検討する。
脆弱なインスタンスに迅速にパッチを適用し、厳重な監視を実施することで、組織は悪用チェーンを阻止し、Oracle E-Business Suiteにおける新たなゼロデイ脅威から機密データを保護することができます。