Oracle E-Business Suiteのゼロデイ脆弱性が修正
Oracleは、Oracle E-Business Suite (EBS) に存在するゼロデイ脆弱性 (CVE-2025-61884) を静かに修正しました。この脆弱性は、サイバー犯罪グループShinyHuntersによってエクスプロイトの概念実証が公開され、実際にサーバーへの侵害に悪用されていました。
週末にリリースされた緊急のセキュリティアップデートにより、この欠陥は対処されました。Oracleの勧告によると、この脆弱性は認証なしでリモートから悪用可能であり、成功すれば「機密リソースへのアクセス」を許す可能性があるとされています。
しかし、Oracleは、この脆弱性が攻撃に積極的に悪用されていたことや、公開されたエクスプロイトが存在していたことについては言及しませんでした。複数の研究者、顧客、そしてBleepingComputerは、CVE-2025-61884のセキュリティアップデートが、リークされたエクスプロイトによって悪用された認証前Server-Side Request Forgery (SSRF) の欠陥を修正したことを確認しています。
複数のゼロデイと攻撃グループによる混乱
今月初め、MandiantとGoogleは、Oracle E-Business Suite (EBS) システムから機密データが盗まれたと主張するメールを企業が受け取るという、新たな恐喝キャンペーンを追跡し始めました。これらのメールは、過去にゼロデイ脆弱性を悪用したデータ窃盗攻撃で知られるClopランサムウェアグループからのものでした。
当初、OracleはClopが2025年7月にパッチが適用されたEBSの欠陥を悪用していると述べ、顧客に最新のCritical Patch Updatesをインストールするよう助言しました。しかしその後、Scattered Lapsus$ Hunters(ShinyHuntersとしても知られる)という別の脅威アクターグループが、Oracle E-Business SuiteのエクスプロイトをTelegramチャンネルで公開しました。
Oracleは10月5日、EBSに新たなゼロデイ (CVE-2025-61882) が影響していることを確認し、緊急パッチをリリースしました。注目すべきは、Oracleの勧告における侵害の痕跡 (IOC) の一つが、Scattered Lapsus$ Huntersによってリークされたエクスプロイトを参照していたことです。しかし、これがさらなる混乱を招きました。
パッチの詳細と混乱の解消
リークされたエクスプロイトが公開された際、watchTowr Labsの研究者たちはそれを分析し、認証なしのリモートコード実行が可能であることを確認しました。このエクスプロイトは、攻撃チェーンの一部としてOracle E-Business Suiteの「/configurator/UiServlet」エンドポイントを最初に標的とします。
一方、CrowdStrikeとMandiantは、Clop恐喝グループが2025年8月に悪用したとみられる、全く異なる脆弱性に関するレポートを公開しました。このエクスプロイトは「/OA_HTML/SyncServlet」エンドポイントを標的としていました。
BleepingComputerと他のサイバーセキュリティ研究者がCVE-2025-61882向けにリリースされたパッチを分析したところ、Clopのエクスプロイトは修正されたものの、ShinyHuntersのPoCによって悪用された脆弱性に対する変更は含まれていないことが判明しました。このため、CVE-2025-61882のIOCにShinyHuntersのエクスプロイトが記載されていた理由が不明瞭でした。
しかし、今回のCVE-2025-61884に対する週末のアップデートにより、ShinyHuntersのエクスプロイトのSSRFコンポーネントが最終的に修正されました。BleepingComputerが入手した情報によると、このパッチは攻撃者から提供された「return_url」を正規表現で検証し、失敗した場合はリクエストをブロックするようになっています。
顧客への推奨事項
現在の状況をまとめると、以下のようになります:
- CVE-2025-61882: Clopのエクスプロイト(MandiantおよびCrowdStrikeが分析)
- CVE-2025-61884: ShinyHuntersがリークしたエクスプロイト(watchTowr Labsが分析)
Oracleの開示の欠如とIOCの不一致により、多くの混乱が生じました。Oracle E-Business Suiteの顧客は、すべての最新アップデートをインストールすることが強く推奨されます。エクスプロイトチェーンと技術情報は現在公開されているためです。
もしすぐに最新のアップデートをインストールできない場合は、一時的な対策として、/configurator/UiServletへのアクセスをブロックする新しいmod_securityルールを追加し、リークされたエクスプロイトのSSRFコンポーネントを無効化することが推奨されます。