Oracle E-Business Suiteに新たな脆弱性、緊急パッチを公開
Oracleは先週末、E-Business Suite (EBS) の新たな脆弱性に対応するため、緊急セキュリティアップデートをリリースしました。この脆弱性は、認証されていない攻撃者によってリモートから悪用される可能性があり、機密情報の漏洩につながる恐れがあります。
脆弱性の詳細:CVE-2025-61884
今回パッチが提供された脆弱性は「CVE-2025-61884」として追跡されており、EBSのRuntime UIコンポーネントにおける情報漏洩の欠陥です。影響を受けるのはEBSのバージョン12.2.3から12.2.14です。この脆弱性が悪用されると、認証されていない脅威アクターがリモートから機密データを窃取する可能性があります。
Oracleは、「この脆弱性は認証なしでリモートから悪用可能であり、ユーザー名とパスワードなしでネットワーク経由で悪用される可能性があります。Oracleは、お客様に対し、このセキュリティアラートによって提供されるアップデートまたは緩和策をできるだけ早く適用することを強く推奨します」と述べています。
この脆弱性のCVSS基本スコアは7.5と評価されており、Oracleの最高セキュリティ責任者であるRob Duhart氏は、「成功裏に悪用された場合、この脆弱性は機密リソースへのアクセスを許す可能性があります」と付け加えています。
背景:ClopグループによるEBS攻撃の継続
CVE-2025-61884のパッチは、Clopランサムウェアグループが複数の企業の幹部を標的とした恐喝キャンペーンを展開してから約2週間後にリリースされました。このキャンペーンは、当初2025年7月にパッチが適用されたEBSの脆弱性、そして後に「CVE-2025-61882」として追跡される別のOracle EBS脆弱性に関連付けられました。
サイバーセキュリティ企業CrowdStrikeは、Clopが2025年8月初旬からCVE-2025-61882をゼロデイ脆弱性として悪用し、データ窃取攻撃を行っていたことを最初に発見したと報告しており、他の脅威グループも攻撃に加わっている可能性があると警告しています。また、watchTowr Labsのセキュリティ研究者たちは、CVE-2025-61882が認証されていない攻撃者にリモートコード実行を許す脆弱性チェーンであることを突き止めており、Scattered Lapsus$ Huntersサイバー犯罪グループによって2025年5月の日付の概念実証(PoC)エクスプロイトがオンラインに流出しています。
Clop恐喝グループは、過去にも以下のゼロデイ脆弱性を悪用した大規模なデータ窃取キャンペーンに関与しています。
- Accellion FTA
- GoAnywhere MFT
- Cleo
- MOVEit Transfer (2,770以上の組織に影響)
Oracleは、今回パッチが適用されたCVE-2025-61884が「in the wild」で悪用されたとはまだ報告しておらず、CVE-2025-61882の攻撃との関連もまだ示していません。
緊急の対応を推奨
しかし、インターネットに公開されているOracle EBSインスタンスが積極的に標的とされている現状を考慮すると、防御側は、この帯域外パッチであるCVE-2025-61884をできるだけ早く適用することが強く推奨されます。