はじめに

米国サイバーセキュリティ・インフラセキュリティ庁（CISA）は、Oracle Identity Managerに存在する新たなリモートコード実行（RCE）脆弱性（CVE-2025-61757）をその既知の悪用された脆弱性（KEV）カタログに追加し、実際の攻撃で既に悪用されていることを警告しました。この脆弱性は、Oracle Fusion Middlewareの一部であるOracle Identity Managerに影響を及ぼし、認証なしで重要な機能にアクセスできる「認証の欠如」として分類されています。これにより、リモートの攻撃者がIDプラットフォームを完全に制御する可能性があり、企業や政府機関に深刻なリスクをもたらします。

脆弱性の詳細

この脆弱性、CVE-2025-61757は、Oracle Identity Managerのバージョン12c 12.2.1.4.0およびそれ以降のバージョンに影響を及ぼします。Searchlight CyberのAssetnoteチームのセキュリティ研究者によって発見され、Oracle Identity ManagerのREST APIが適切な認証チェックなしでアクセスされうる点が指摘されました。

攻撃者は、製品がURLパターンとフィルターを処理する方法を悪用することで、保護されたエンドポイントをあたかも公開されたものであるかのように扱わせることができます。認証を回避した後、攻撃者はGroovyスクリプトを処理する機能に到達し、この機能を悪用してコンパイル時にコードを実行することが可能です。これにより、単純なロジックの欠陥が、強力な認証前リモートコード実行（RCE）の脆弱性へと変貌します。

重大な脅威とその背景

Oracle Identity Managerは、ユーザーアカウント、資格情報、アクセス権限を管理するために多くの企業や政府機関で利用されています。このシステムが侵害されると、ドメイン全体やクラウド全体が危険にさらされる可能性があります。

この研究は、攻撃者が以前のOracle Access Managerの欠陥（CVE-2021-35587）を悪用してRCEを取得し、数百万件の記録を盗んだとされる、2025年1月のOracle Cloudログインサービスの侵害の報告に続くものです。CVE-2025-61757は関連するIDコンポーネントに影響を与え、パッチが適用されなければOracle自身のインフラストラクチャに対しても同様に悪用される可能性がありました。

CISAは、この脆弱性が認証されていない攻撃者によってネットワーク経由で悪用される可能性があることを特に懸念しており、多くのOracle Identity Managerインスタンスがユーザーアクセスを目的としてインターネットに公開されているため、攻撃対象領域は広範であると指摘しています。

CISAの指示と推奨される対策

CVE-2025-61757は2025年11月21日にCISAのKEVカタログに追加されました。連邦民間機関は、2025年12月12日までにOracleの修正プログラムを適用するか、クラウドサービスに関する拘束力のある運用指令（BOD）22-01ガイダンスに従うか、または製品の使用を中止するよう命令されています。

Oracle Fusion MiddlewareおよびOracle Identity Managerを実行している組織は、以下の対策を緊急に実施することが強く推奨されます。

• 最新のOracle Critical Patch Updateを緊急にデプロイする。
• IDサービスの外部公開状況を確認し、必要に応じて制限する。
• 管理APIおよびスクリプト機能への疑わしいアクセスを継続的に監視する。

---

元記事: https://gbhackers.com/cisa-issues-warning-as-hackers-target-oracle-identity-manager-rce-flaw/