概要：CISAがOracle E-Business Suiteの脆弱性悪用を警告

サイバーセキュリティ・インフラセキュリティ庁（CISA）は、Oracle E-Business Suiteの重大な脆弱性（CVE-2025-61884）が実際に悪用されていることを確認し、これを既知の悪用済み脆弱性カタログに追加しました。この脆弱性は、広く利用されているエンタープライズリソースプランニングソフトウェアを実行している組織に深刻なリスクをもたらします。

重大なSSRF脆弱性：即時対応が必須

CVE-2025-61884は、Oracle E-Business Suite内のOracle Configuratorのランタイムコンポーネントに影響を与えるサーバーサイドリクエストフォージェリ（SSRF）脆弱性です。この欠陥は、認証情報を必要とせずにリモート攻撃者が悪用できるため、公開されているシステムにとって特に危険です。

• CVE ID: CVE-2025-61884
• 影響を受ける製品: Oracle E-Business Suite (Oracle Configuratorのランタイムコンポーネント)
• 脆弱性の種類: サーバーサイドリクエストフォージェリ (SSRF)

SSRF攻撃は、脅威アクターがサーバーを操作して、内部または外部リソースへの不正なリクエストを行わせることを可能にし、機密データの漏洩やネットワークへのさらなる侵入を促進する可能性があります。この脆弱性はCWE-918に分類されており、アプリケーションがユーザー提供のURLを適切に検証しないSSRFの弱点を具体的に特定しています。セキュリティ研究者は、この欠陥を悪用する攻撃者がネットワークアクセス制御を回避し、内部サービスと対話し、バックエンドシステムから機密情報を引き出す可能性があると警告しています。認証なしでのリモート悪用可能性は、企業ネットワークへの容易な侵入経路を求めるサイバー犯罪者にとって、この脆弱性を特に魅力的なものにしています。

CISAの指令と推奨事項

CISAは、2025年10月20日にCVE-2025-61884を既知の悪用済み脆弱性カタログに追加し、積極的な悪用が確認されたことを示しました。拘束力のある運用指令22-01によると、Oracle E-Business Suiteを運用する連邦機関は、2025年11月10日までにセキュリティパッチを適用するか、ベンダー推奨の緩和策を実施する必要があります。指定された期間内に脆弱性を修正できない組織は、適切な保護が実施されるまで、影響を受ける製品の使用を中止する必要があります。

CISAは、この脆弱性がランサムウェアキャンペーンで武器化されたかどうかをまだ確認していませんが、その不明な状況は注意の必要性を強調しています。組織は、クラウドサービスに関する適用可能なBOD 22-01のガイダンスに従い、Oracleと連携して、この重大な欠陥に対処する最新のセキュリティアップデートを入手する必要があります。

組織が取るべき緊急対策

Oracle E-Business Suiteの展開を管理するセキュリティチームは、CVE-2025-61884への露出について直ちにインストール状況を確認する必要があります。優先すべき行動には、ベンダー提供のパッチの適用、潜在的なSSRF悪用を制限するためのネットワークセグメンテーションの実装、およびOracle Configuratorコンポーネントからの疑わしいアウトバウンドリクエストの監視が含まれます。組織はまた、以前の悪用を示唆する侵害の兆候を特定するために、徹底的なセキュリティ評価を実施する必要があります。

この脆弱性がCISAのカタログに追加されたことは、エンタープライズアプリケーションのパッチレベルを最新に保ち、新たな脅威から保護するための多層防御戦略を実装することの極めて重要な重要性を強調しています。

元記事: https://gbhackers.com/cisa-warns-oracle-e-business-suite-ssrf-vulnerability/