はじめに:Oracleがゼロデイ脆弱性をサイレント修正
Oracleは、Oracle E-Business Suiteの脆弱性(CVE-2025-61884)をサイレントに修正しました。この脆弱性は、ShinyHuntersという恐喝グループによってエクスプロイトの概念実証が公開され、サーバーへの侵害に悪用されていました。Oracleは週末に緊急の帯域外セキュリティアップデートをリリースし、この脆弱性が「機密リソースへのアクセス」を許す可能性があると説明しました。
Oracleの勧告によると、この脆弱性は認証なしでリモートから悪用可能であり、ユーザー名やパスワードなしでネットワーク経由で悪用される可能性があります。成功した場合、機密リソースへのアクセスを許す恐れがあります。
ShinyHuntersによるエクスプロイトの公開とOracleの対応
Oracleは、この脆弱性が攻撃で積極的に悪用されていたことや、公開エクスプロイトがリリースされていたことについては言及しませんでした。しかし、複数の研究者、顧客、そしてBleepingComputerは、CVE-2025-61884のセキュリティアップデートが、リークされたエクスプロイトによって悪用された認証前のサーバーサイドリクエストフォージェリ(SSRF)の欠陥を修正していることを確認しました。BleepingComputerがOracleにコメントを求めたものの、回答は得られませんでした。
混乱を招くOracleの対応と複数の脆弱性
事態はOracleと他のセキュリティベンダーの沈黙により、さらに複雑化しています。今月初め、MandiantとGoogleは、Oracle E-Business Suite(EBS)システムからのデータ窃盗を主張する恐喝キャンペーンを追跡し始めました。これは、ゼロデイ脆弱性を悪用することで知られるClopランサムウェアグループによるものでした。
Oracleは当初、Clopが2025年7月にパッチが適用されたEBSの脆弱性を悪用していると述べ、最新のCritical Patch Updatesのインストールを推奨しました。
しかし、その後、Scattered Lapsus$ Hunters(ShinyHunters)が、Oracle E-Business Suiteのエクスプロイトを公開しました。これを受けてOracleは10月5日、新たなゼロデイ脆弱性(CVE-2025-61882)がEBSに影響を与えていることを確認し、緊急パッチをリリースしました。
注目すべきは、CVE-2025-61882のパッチがClopのエクスプロイト(/OA_HTML/SyncServletエンドポイントを標的とする)を無効にした一方で、ShinyHuntersのPoC(/configurator/UiServletエンドポイントを標的とする)によって悪用された脆弱性に対する変更は含まれていなかった点です。 このため、OracleがCVE-2025-61882のIOCとしてShinyHuntersのエクスプロイトを挙げたこと自体が混乱を招きました。
CVE-2025-61884の週末のアップデート後、研究者や顧客は、リークされたエクスプロイトのSSRFコンポーネントがようやく修正されたことを確認しました。このパッチは、攻撃者から提供された「return_url」を正規表現で厳密に検証し、不正なリクエストをブロックするものです。
Clopランサムウェアとの関連
Clopランサムウェアグループは、Oracle EBSシステムからのデータ窃盗を主張する恐喝メールを送信していました。彼らは、Oracleのコア製品に新たな欠陥があったと主張し、自らが「問題を解決する」役割を担っていると述べました。Mandiantは、Clopが2025年8月に別の脆弱性(/OA_HTML/SyncServletエンドポイントを標的とする)を悪用していたと報告しています。
推奨される対策
Oracle E-Business Suiteの顧客は、すべての最新アップデートをインストールすることが強く推奨されます。エクスプロイトチェーンと技術情報はすでに公開されています。
すぐに最新のアップデートをインストールできない場合は、一時的な対策として、/configurator/UiServletへのアクセスをブロックする新しいmod_securityルールを追加し、リークされたエクスプロイトのSSRFコンポーネントを無効にすることを検討してください。