CISAがOracle E-Business Suiteの重大な脆弱性について警告

米サイバーセキュリティ・インフラセキュリティ庁（CISA）は、Oracle E-Business Suiteの重大な脆弱性（CVE-2025-61884）が実際に悪用されていることを確認し、「既知の悪用されている脆弱性カタログ」に追加しました。この脆弱性は、広範に展開されているエンタープライズリソースプランニングソフトウェアを使用する組織に深刻なリスクをもたらします。

認証不要で悪用可能な深刻なSSRF脆弱性

CVE-2025-61884は、Oracle E-Business Suite内のOracle Configuratorのランタイムコンポーネントに影響を与えるサーバーサイドリクエストフォージェリ（SSRF）の脆弱性です。この脆弱性は、認証情報を必要とせずにリモートの攻撃者が悪用できるため、公開されているシステムにとって特に危険です。

• CVE ID: CVE-2025-61884
• 影響を受ける製品: Oracle E-Business Suite (Oracle Configuratorのランタイムコンポーネント)
• 脆弱性の種類: サーバーサイドリクエストフォージェリ (SSRF)

SSRF攻撃は、脅威アクターがサーバーを操作して、内部または外部のリソースに対して不正なリクエストを行わせることを可能にし、機密データの漏洩やネットワークへのさらなる侵入を招く可能性があります。この脆弱性はCWE-918に分類されており、アプリケーションがユーザー提供のURLを適切に検証しないSSRFの弱点を具体的に示しています。セキュリティ研究者は、この脆弱性を悪用する攻撃者がネットワークアクセス制御をバイパスし、内部サービスと対話し、バックエンドシステムから機密情報を窃取する可能性があると警告しています。認証なしでのリモートからの悪用可能性は、企業ネットワークへの容易な侵入経路を求めるサイバー犯罪者にとって特に魅力的です。

CISAによる警告と緊急の対応期限

CISAは、活発な悪用が確認されたことを受け、2025年10月20日にCVE-2025-61884を「既知の悪用されている脆弱性カタログ」に追加しました。拘束力のある運用指令22-01に基づき、Oracle E-Business Suiteを運用する連邦政府機関は、2025年11月10日までにセキュリティパッチを適用するか、ベンダー推奨の緩和策を実施する必要があります。指定された期間内に脆弱性を修正できない組織は、適切な保護が実施されるまで、影響を受ける製品の使用を中止すべきです。CISAは、この脆弱性がランサムウェアキャンペーンで悪用されたかどうかをまだ確認していませんが、その不明な状況は警戒の必要性を強調しています。組織は、適用されるBOD 22-01のガイダンスに従い、Oracleと連携して、この重大な脆弱性に対処する最新のセキュリティアップデートを入手する必要があります。

セキュリティチームが取るべき優先行動

Oracle E-Business Suiteを展開しているセキュリティチームは、CVE-2025-61884への露出について直ちにインストール状況を確認する必要があります。優先すべき行動には、ベンダー提供のパッチの適用、潜在的なSSRF悪用を制限するためのネットワークセグメンテーションの実装、およびOracle Configuratorコンポーネントからの疑わしいアウトバウンドリクエストの監視が含まれます。組織はまた、以前の悪用を示唆する可能性のある侵害の兆候を特定するために、徹底的なセキュリティ評価を実施すべきです。この脆弱性がCISAのカタログに追加されたことは、エンタープライズアプリケーションの最新のパッチレベルを維持し、新たな脅威から保護するための多層防御戦略を実施することの極めて重要な重要性を強調しています。

元記事: https://gbhackers.com/cisa-warns-oracle-e-business-suite-ssrf-vulnerability/