CISAがOracle E-Business Suiteの脆弱性悪用を警告
米サイバーセキュリティ・インフラセキュリティ庁(CISA)は、Oracle E-Business Suiteの脆弱性「CVE-2025-61884」が攻撃で悪用されていることを確認し、「既知の悪用された脆弱性カタログ」に追加しました。これにより、連邦政府機関は2025年11月10日までにこのセキュリティ脆弱性へのパッチ適用が義務付けられます。
CVE-2025-61884は、Oracle Configuratorランタイムコンポーネントにおける認証不要のサーバーサイドリクエストフォージェリ(SSRF)の欠陥です。Oracleは当初、この脆弱性に7.5の深刻度評価を与え、容易に悪用され、機密データへの不正アクセスやOracle Configuratorがアクセス可能な全データへの完全なアクセスを許す可能性があると警告していました。
BleepingComputerは、Oracleが悪用を公表しなかったにもかかわらず、ShinyHuntersとScattered Lapsus$がリークしたエクスプロイトをブロックするパッチが適用されたことを確認しています。
攻撃の背景と混乱
10月初旬、MandiantはClopランサムウェアグループが、ゼロデイ脆弱性を用いてOracle E-Business Suiteインスタンスからデータを盗んだと主張し、企業に恐喝メールを送付していることを明らかにしました。これに対しOracleは、攻撃者は7月に開示された「以前にパッチが適用された」脆弱性を悪用したと説明しました。
その後、10月3日にはShinyHuntersがTelegramでOracleのエクスプロイトをリークし、Clopとの関連が示唆されました。翌日、Oracleは「CVE-2025-61882」を開示し、リークされた概念実証(PoC)を侵害指標(IOC)として挙げました。
異なる攻撃キャンペーンの判明
CrowdStrikeとMandiantの調査により、Oracle EBSに対する攻撃が実際には2つの異なるキャンペーンで行われていたことが判明しました。
- Julyキャンペーン: 「
/configurator/UiServlet」エンドポイントのSSRF脆弱性を標的としたもので、これが現在の「CVE-2025-61884」に該当します。 - Augustキャンペーン: 「
/OA_HTML/SyncServlet」エンドポイントを標的としたもので、「CVE-2025-61882」として修正されました。このキャンペーンはClopグループによるものとされています。
watchTowr Labsも、ShinyHuntersのエクスプロイトがUiServletのSSRF攻撃チェーン(CVE-2025-61884)を標的としており、SyncServletではないことを分析で確認しています。
Oracleの対応と情報開示の課題
Oracleは10月11日に「CVE-2025-61884」を開示しましたが、悪用されたことについては確認しませんでした。CVE-2025-61884のパッチは、攻撃者が提供する「return_url」を正規表現で検証することで脆弱性に対処し、検証に失敗した場合はリクエストをブロックする仕組みです。
しかし、OracleがShinyHuntersのエクスプロイトを「CVE-2025-61882」のIOCとして誤って記載したことについて、BleepingComputerはOracleに問い合わせましたが、現時点では回答は得られていません。この情報の不一致は、セキュリティコミュニティ内で混乱を招いています。