OracleがShinyHuntersがリークしたゼロデイ脆弱性をサイレント修正
Oracleは、Oracle E-Business Suiteのゼロデイ脆弱性(CVE-2025-61884)を密かに修正しました。この脆弱性は、ShinyHunters恐喝グループによって概念実証エクスプロイトが公開され、サーバー侵害に悪用されていました。Oracleは週末に帯域外セキュリティアップデートをリリースし、この脆弱性が「機密リソースへのアクセス」に利用される可能性があると述べています。
Oracleの勧告には「このセキュリティアラートは、Oracle E-Business Suiteの脆弱性CVE-2025-61884に対処します。この脆弱性は認証なしでリモートから悪用可能であり、ユーザー名とパスワードを必要とせずにネットワーク経由で悪用される可能性があります。悪用が成功した場合、この脆弱性により機密リソースへのアクセスが許可される可能性があります」と記載されています。しかし、Oracleは、この脆弱性が攻撃で積極的に悪用されたことや、公開エクスプロイトがリリースされたことについては言及していません。
複数の研究者、顧客、そしてBleepingComputerは、CVE-2025-61884のセキュリティアップデートが、リークされたエクスプロイトによって悪用された認証前Server-Side Request Forgery(SSRF)の欠陥に対処していることを確認しました。
Oracleゼロデイの混乱
今月初め、MandiantとGoogleは、企業がOracle E-Business Suite(EBS)システムから機密データが盗まれたと主張するメールを受け取るという新たな恐喝キャンペーンを追跡し始めました。これらのメールは、ゼロデイの欠陥を悪用したデータ窃盗攻撃で長い歴史を持つClopランサムウェアグループからのものでした。
Clopは攻撃の詳細を共有しませんでしたが、BleepingComputerに対し、彼らがメールの背後にいることを確認し、新しいOracleの欠陥がデータ窃盗攻撃で悪用されたと主張しました。これに対し、OracleはClopが2025年7月にパッチが適用されたEBSの欠陥を悪用していると述べ、顧客に最新のCritical Patch Updatesをインストールするよう助言しました。
その後すぐに、Scattered Lapsus$ Huntersとしても知られるShinyHuntersという別の脅威アクターグループが、Salesforce顧客を恐喝するために使用されていたTelegramチャンネルでOracle E-Business Suiteのエクスプロイトを公開しました。Oracleは10月5日に、新しいゼロデイ(CVE-2025-61882)がEBSに影響を与えていることを確認し、緊急パッチをリリースしました。注目すべきは、Oracleの勧告における侵害の痕跡(IOC)の1つが、Scattered Lapsus$ Huntersによってリリースされたエクスプロイトを参照しており、関連性を示唆していました。
脆弱性の詳細と混乱の解消
しかし、Oracleや他のセキュリティベンダーの沈黙により、事態は混乱を極めました。エクスプロイトがリークされた際、watchTowr Labsの研究者たちはそれを分析し、サーバー上で認証されていないリモートコード実行を実行できることを確認しました。このリークされたエクスプロイトは、攻撃チェーンの一部としてOracle E-Business Suiteの「/configurator/UiServlet」エンドポイントを最初に標的にします。
その後、CrowdStrikeとMandiantは、2025年8月にClop恐喝グループによって悪用されたとみられる全く異なる脆弱性を開示するレポートをリリースしました。このエクスプロイトは「/OA_HTML/SyncServlet」エンドポイントを最初に標的にします。Mandiantの研究者たちは、Scattered Lapsus$ HunterのリークされたPoCエクスプロイトがUiServletを標的とした活動を2025年7月に観測したとも述べています。
Mandiantは、10月4日にリリースされた最新のパッチに更新することで、顧客は既知のすべてのエクスプロイトチェーンから保護されると述べています。BleepingComputerと他のサイバーセキュリティ研究者は、CVE-2025-61882のためにOracleがリリースしたパッチを分析し、SYNCSERVLETクラスをスタブアウトし、/OA_HTML/SyncServletエンドポイントおよび悪意のあるテンプレートの実行に使用される様々なテンプレートへのアクセスを防止するmod_securityルールを追加することで、Clopエクスプロイトを破壊したことを発見しました。しかし、ShinyHunterのPoCによって悪用された脆弱性を修正するためのセキュリティアップデートには変更がなく、これはCVE-2025-61882のIOCとしてリストされていました。したがって、Oracleが勧告でこれに言及した理由は不明です。
さらに、CVE-2025-61882が修正された後も、顧客と研究者はBleepingComputerに対し、テストの結果、リークされたエクスプロイトの少なくともSSRFコンポーネントは、現在のパッチがインストールされていても機能し続けていることを示していると語りました。しかし、今週末のCVE-2025-61884のアップデートをインストールした後、これらの同じ研究者と顧客は、SSRFコンポーネントが修正されたとBleepingComputerに伝えています。
BleepingComputerは、CVE-2025-61884のパッチが、攻撃者から提供された「return_url」を正規表現を使用して検証し、失敗した場合はリクエストをブロックすることを確認しました。正規表現は厳密な文字セットのみを許可し、パターンを固定するため、注入されたCRLFは拒否されます。リークされたエクスプロイトがどのように機能するかを正確に知るには、watchTowr Labsの解説を読むことをお勧めします。
脆弱性のまとめと推奨事項
混乱を解消するためにまとめると、以下のようになります。
- CVE-2025-61882 – MandiantとCrowdStrikeによって分析されたClopエクスプロイト。
- CVE-2025-61884 – watchTowr Labsによって分析されたShinyHunterのリークされたエクスプロイト。
現時点では、Oracleがなぜこのようにエクスプロイトにパッチを適用し、IOCを不一致にしたのかは不明です。BleepingComputerはOracleに顧客の懸念について問い合わせましたが、回答は得られなかったか、コメントを拒否されました。MandiantはBleepingComputerに対し、質問に答えることができないと述べました。CrowdStrikeとwatchTowr Labsは、脆弱性に関する質問についてはOracleに問い合わせるよう促しました。
Oracle E-Business Suiteの顧客は、エクスプロイトチェーンと技術情報が現在公開されているため、すべての最新アップデートをインストールすることが強く推奨されます。すぐに最新のアップデートをインストールできない場合は、パッチを適用できるまで、リークされたエクスプロイトのSSRFコンponentを破壊するために、/configurator/UiServletへのアクセスをブロックする新しいmod_securityルールを追加する必要があります。