Oracleは、ShinyHunters脅迫グループによって公開された概念実証エクスプロイトが積極的に悪用されていたOracle E-Business Suiteの脆弱性(CVE-2025-61884)を密かに修正しました。
この脆弱性は、週末にリリースされた臨時のセキュリティアップデートで対処され、Oracleは「機密リソース」へアクセスされる可能性があると述べています。
「このセキュリティアラートは、Oracle E-Business Suiteの脆弱性CVE-2025-61884に対応しています。」と記載されています。「この脆弱性は認証なしでリモートから悪用可能であり、つまりユーザー名やパスワードが不要でネットワーク経由で悪用される可能性があります。悪用に成功した場合、機密リソースへのアクセスが許可される可能性があります。」
しかし、Oracleはこの脆弱性が実際に攻撃で悪用されていたことや、公開エクスプロイトがリリースされていたことについては明らかにしませんでした。
複数の研究者、顧客、そしてBleepingComputerは、CVE-2025-61884のセキュリティアップデートが、リークされたエクスプロイトで使用された認証前のサーバーサイドリクエストフォージェリ(SSRF)脆弱性に対応していることを確認しています。
BleepingComputerは、アップデートや実際の悪用に関する開示がないことについて、Oracleに6回以上コメントを求めましたが、返答がなかったか、コメントを辞退されました。
混乱するOracleゼロデイ問題
今月初め、MandiantとGoogleは、企業がOracle E-Business Suite(EBS)システムから機密データが盗まれたと主張するメールを受け取る新たな脅迫キャンペーンの追跡を開始しました。
これらのメールはClopランサムウェアオペレーションから送信されており、ゼロデイ脆弱性を悪用した大規模なデータ窃取攻撃の長い歴史があります。
Clopは攻撃の詳細を共有しませんでしたが、BleepingComputerに対し、メールの背後に自分たちがいることと、データ窃取攻撃で新たなOracleの脆弱性を悪用したと主張しました。
「すぐに、Oracleがコア製品にバグを仕込んだことが明らかになるだろう。そしてまたしても、Clopが事態を救う役目を担うことになる」と、脅迫グループはBleepingComputerに語りました。
脅迫メールへの対応として、OracleはClopが2025年7月に修正されたEBSの脆弱性を悪用していると発表し、顧客に最新のクリティカルパッチアップデートの適用を推奨しました。
その直後、Scattered Lapsus$ Huntersとしても知られるShinyHuntersという別の攻撃グループが、Salesforce顧客への脅迫に利用されていたOracle E-Business SuiteのエクスプロイトをTelegramチャンネルで公開しました。
Oracleは後に10月5日、新たなゼロデイ(CVE-2025-61882)がEBSに影響を与えていることを確認し、緊急パッチをリリースしました。特筆すべきは、Oracleのアドバイザリに記載された侵害の兆候(IOC)の1つが、Scattered Lapsus$ Huntersによって公開されたエクスプロイトを参照しており、関連性を示唆しています。
出典: Oracle
しかし、ここから事態は混乱します。主にOracleや他のセキュリティベンダーの沈黙が原因です。
エクスプロイトがリークされた際、watchTowr Labsの研究者が解析し、認証なしでサーバー上でリモートコード実行が可能であることを確認しました。このリークエクスプロイトは、攻撃チェーンの一部としてOracle E-Business Suiteの「/configurator/UiServlet」エンドポイントを最初に標的にします。
しかし、CrowdStrikeとMandiantは後に、2025年8月にClop脅迫グループが悪用したと考えられる全く異なる脆弱性について報告を公開しました。このエクスプロイトは最初に「/OA_HTML/SyncServlet」エンドポイントを標的にします。
Mandiantの研究者も、2025年7月にScattered Lapsus$ HunterがリークしたUiServletを標的とするPoCエクスプロイトと類似した悪用活動を観測したと述べています。
Mandiantは、10月4日にリリースされた最新パッチにアップデートすることで、顧客は既知のすべてのエクスプロイトチェーンから保護されると述べています。
「Oracleは10月4日にCVE-2025-61882のパッチをリリースし、UiServletコンポーネントを標的としたリークされたエクスプロイトチェーンに言及しましたが、MandiantはOracle EBSに関する複数の異なるエクスプロイトチェーンを観測しており、10月2日のアドバイザリで示唆された既知の脆弱性とは異なるチェーンが基になっている可能性が高い」とMandiantはレポートで説明しています。
「現時点では、どの特定の脆弱性/エクスプロイトチェーンがCVE-2025-61882に該当するかは不明ですが、GTIGは10月4日にリリースされたパッチでアップデートされたOracle EBSサーバーは、既知のエクスプロイトチェーンにはもはや脆弱でないと評価しています。」
BleepingComputerおよび他のサイバーセキュリティ研究者は、OracleがCVE-2025-61882向けにリリースしたパッチを分析しました。その結果、SYNCSERVLETクラスをスタブ化し、/OA_HTML/SyncServletエンドポイントや悪意あるテンプレート実行に使われる各種テンプレートへのアクセスを防ぐmod_securityルールを追加することで、Clopのエクスプロイトを無効化していることが判明しました。
しかし、ShinyHunterのPoCで悪用された脆弱性を修正するためのセキュリティアップデートの変更はなく、それがCVE-2025-61882のIOCとして記載されていた理由は不明です。
さらに、CVE-2025-61882が修正された後、顧客や研究者はBleepingComputerに対し、現在のパッチを適用してもリークされたエクスプロイトの少なくともSSRFコンポーネントは依然として動作することをテストで確認したと伝えました。
今週末のCVE-2025-61884向けアップデートをインストールした後、これらの研究者や顧客はBleepingComputerに、SSRFコンポーネントが修正されたと伝えています。
BleepingComputerは、CVE-2025-61884のパッチが攻撃者が指定した「return_url」を正規表現で検証し、失敗した場合はリクエストをブロックするようになったことを確認しました。この正規表現は厳格な文字セットのみを許可し、パターンをアンカーしているため、CRLFの注入が拒否されます。
リークされたエクスプロイトの動作を正確に知るには、watchTowr Labsの解説を読むことをお勧めします。
依然として不透明
現時点で、Oracleがこのような形でエクスプロイトを修正し、IOCを取り違えた理由は不明です。
BleepingComputerはOracleに顧客の懸念について問い合わせましたが、返答がないか、コメントを辞退されました。
MandiantはBleepingComputerに対し、現時点では質問に回答できないと述べました。CrowdStrikeとwatchTowr Labsは、脆弱性に関する質問はOracleに問い合わせるよう案内しました。
Oracle E-Business Suiteの顧客は、エクスプロイトチェーンや技術情報がすでに公開されているため、必ず最新のアップデートをインストールすることが強く推奨されます。
すぐに最新アップデートをインストールできない場合は、/configurator/UiServletへのアクセスをブロックする新しいmod_securityルールを追加し、パッチ適用までリークされたエクスプロイトのSSRFコンポーネントを無効化してください。
