Oracleがゼロデイ脆弱性を密かに修正
Oracleは、Oracle E-Business Suite (EBS) のゼロデイ脆弱性 (CVE-2025-61884) を密かに修正しました。この脆弱性は、ShinyHunters恐喝グループによって概念実証 (PoC) エクスプロイトが公にリークされ、サーバーへの侵入に積極的に悪用されていました。
Oracleは週末に緊急の帯域外セキュリティアップデートをリリースし、この脆弱性が「機密リソース」へのアクセスを許す可能性があると述べました。Oracleの勧告によると、「この脆弱性は認証なしでリモートから悪用可能であり、ユーザー名とパスワードなしでネットワーク経由で悪用される可能性があります。悪用が成功した場合、機密リソースへのアクセスを許す可能性があります。」
しかし、Oracleは、この脆弱性が攻撃で積極的に悪用されたことや、公開エクスプロイトがリリースされたことを開示しませんでした。複数の研究者、顧客、およびBleepingComputerは、CVE-2025-61884のセキュリティアップデートが、リークされたエクスプロイトによって使用された認証前サーバーサイドリクエストフォージェリ (SSRF) の欠陥を修正したことを確認しています。
Oracleゼロデイの混乱
今月初め、MandiantとGoogleは、企業がOracle E-Business Suite (EBS) システムから機密データが盗まれたと主張するメールを受け取るという新たな恐喝キャンペーンを追跡し始めました。これらのメールは、広範なデータ窃盗攻撃でゼロデイの欠陥を悪用してきた長い歴史を持つClopランサムウェアオペレーションからのものでした。
Clopは攻撃の詳細を共有しませんでしたが、BleepingComputerに対し、彼らがメールの背後にいることを確認し、新しいOracleの欠陥がデータ窃盗攻撃で悪用されたと主張しました。これに対し、OracleはClopが2025年7月にパッチが適用されたEBSの欠陥を悪用していると述べ、顧客に最新のCritical Patch Updatesをインストールするよう助言しました。
その後すぐに、Scattered Lapsus$ Huntersとしても知られるShinyHuntersという別の脅威アクターグループが、Salesforce顧客を恐喝するために使用されていたTelegramチャンネルでOracle E-Business Suiteのエクスプロイトをリリースしました。Oracleはその後、10月5日に新しいゼロデイ (CVE-2025-61882) がEBSに影響を与えていることを確認し、緊急パッチをリリースしました。注目すべきは、Oracleの勧告における侵害の兆候 (IOC) の1つが、Scattered Lapsus$ Huntersによってリリースされたエクスプロイトを参照しており、関連性を示唆していました。
しかし、ここから事態は混乱を極めます。これは主にOracleや他のセキュリティベンダーの沈黙によるものです。エクスプロイトがリークされた際、watchTowr Labsの研究者たちはそれを分析し、サーバー上で認証なしのリモートコード実行を実行するために使用できることを確認しました。このリークされたエクスプロイトは、攻撃チェーンの一部としてOracle E-Business Suiteの「/configurator/UiServlet」エンドポイントを最初に標的にします。
しかし、CrowdStrikeとMandiantはその後、Clop恐喝グループが2025年8月に悪用したとみられる全く異なる脆弱性を開示しました。このエクスプロイトは「/OA_HTML/SyncServlet」エンドポイントを最初に標的にします。Mandiantの研究者たちはまた、2025年7月にUiServletを標的としたScattered Lapsus$ HunterのリークされたPoCエクスプロイトと同様の悪用活動を観察したと述べています。
BleepingComputerと他のサイバーセキュリティ研究者たちは、CVE-2025-61882のためにOracleがリリースしたパッチを分析しました。その結果、これらのパッチはSYNCSERVLETクラスをスタブアウトし、/OA_HTML/SyncServletエンドポイントと悪意のあるテンプレートを実行するために使用される様々なテンプレートへのアクセスを防止するmod_securityルールを追加することで、Clopエクスプロイトを無効にしていることが判明しました。しかし、CVE-2025-61882のIOCとしてリストされていたShinyHuntersのPoCによって悪用された脆弱性を修正するための変更は、このセキュリティアップデートにはありませんでした。したがって、Oracleが勧告でそれを言及した理由は不明です。
さらに、CVE-2025-61882が修正された後も、顧客や研究者たちはBleepingComputerに対し、テストの結果、少なくともリークされたエクスプロイトのSSRFコンポーネントは、現在のパッチがインストールされていても機能し続けていることを示していると語りました。しかし、今週末のCVE-2025-61884のアップデートをインストールした後、これらの同じ研究者や顧客は、SSRFコンポーネントが修正されたとBleepingComputerに伝えています。BleepingComputerは、CVE-2025-61884のパッチが、攻撃者から提供された「return_url」を正規表現を使用して検証し、失敗した場合はリクエストをブロックすることを確認しました。この正規表現は厳密な文字セットのみを許可し、パターンを固定するため、注入されたCRLFは拒否されます。
混乱のまとめと推奨事項
まだ混乱している方のためにまとめると、以下の通りです:
- CVE-2025-61882: MandiantとCrowdStrikeによって分析されたClopエクスプロイト。
- CVE-2025-61884: watchTowr Labsによって分析されたShinyHuntersのリークされたエクスプロイト。
現時点では、Oracleがなぜこのような方法でエクスプロイトにパッチを適用し、IOCを不一致にしたのかは不明です。BleepingComputerはOracleに顧客の懸念について連絡しましたが、回答を得られなかったか、コメントを拒否されました。MandiantはBleepingComputerに対し、質問に答えることができないと述べました。CrowdStrikeとwatchTowr Labsは、脆弱性に関する質問についてはOracleに問い合わせるようBleepingComputerに伝えました。
Oracle E-Business Suiteの顧客である場合は、すべての最新アップデートをインストールすることを強くお勧めします。エクスプロイトチェーンと技術情報は現在公開されています。すぐに最新のアップデートをインストールできない場合は、パッチを適用できるまで、リークされたエクスプロイトのSSRFコンポーネントを無効にするために、/configurator/UiServletへのアクセスをブロックする新しいmod_securityルールを追加する必要があります。