複数製品に適用されるアップデート、サードパーティコンポーネントの修正も含む
今週リリースされたOracle Critical Security Patch Update(CSPU)には、サポート対象のオンプレミスソフトウェアに向けた245件の新たな修正が含まれており、その一部は複数の製品に影響します。これはセキュリティホールをより迅速に公表・修正する業界トレンドへの対応であり、Oracleの従来の四半期ごとのパッチスケジュールを補完するものです。
今回のパッチ群は、Oracle Enterprise Manager、JD Edwards、Fusion Middleware、MySQL、PeopleSoftなど、幅広い製品に影響します。
Oracleは、影響を最小限に抑えつつ適用しやすい、より小規模で焦点を絞った形式で的を絞った高優先度のセキュリティ修正を提供することを目的としていると説明しています。「Oracleは、Critical Security Patch Updateで対処する各セキュリティ脆弱性の分析を実施しています。この情報を提供することで、お客様が自社の製品利用状況に基づいた独自のリスク分析を行えるようにしています」と同社は述べています。
LexisNexis Risk SolutionsのCISOであるFlavio Villanustre氏は、すべてのパッチが高優先度に指定されているものの、その中でも特に懸念すべきものがあると述べています。
「CVE-2026-35273に対するPeopleSoftのパッチが際立っています。これはOracle PeopleSoftにおける重大なリモートコード実行の脆弱性に対処するものであり、実際に広く悪用されています。このパッチは帯域外セキュリティアラートとしてリリースされており、即時の修正対応が必要です」とVillanustre氏は述べています。
「それに劣らず注目すべきなのが、Oracle Fusionへのパッチです。約100件のパッチが提供されており、そのうち半数以上が認証不要のリモートエクスプロイトに分類されています。これらはWebLogic Serverなどのコンポーネントに影響します」
これらのパッチの一部は、Oracle Fusion Middleware製品向けのものです。これらの製品の中には、年末にOracleのサポートが終了するものも含まれています。しかしVillanustre氏は、こうした製品で確認された多数のセキュリティホールを特に深刻とは捉えていません。
「Oracleは、アップグレードの代わりに追加費用を支払う意思のある企業に対し、[Fusion Middleware]の延長サポートを2027年12月まで提供しています。つまり、現時点からさらに18か月間はサポートが継続されます」とVillanustre氏は指摘しています。
Greyhound ResearchのチーフアナリストであるSanchit Vir Gogia氏(プロフィール)は、Oracleの発表における重要性はパッチの数の多さではなく、その適用範囲にあると述べています。
「注目すべき数字は245件のパッチ数ではなく、その適用先です」とGogia氏は指摘しています。「245件の修正のうち106件がFusion Middlewareに集中しており、そのうち53件は認証なしにリモートからアクセス可能です。これはパッチ管理の問題ではありません。コントロールプレーンの問題です」
しかし、最も深刻な欠陥は必ずしも深刻度スコアが最高のものとは限りません。「深刻なのは、リモートアクセス性・認証の欠如・他のシステムが信頼するレイヤーへの特権的な配置が組み合わさっているものです」とGogia氏は述べています。
「WebLogic Serverには、攻撃者が長年スキャンし標的にしてきた製品において、最高深刻度の問題が2件あります」とGogia氏は指摘しています。「Oracle Coherenceにもさらに1件あり、Coherenceは共有コンポーネントであるため、そのリスクはシステム全体に静かに拡大していきます。Oracle Unified DirectoryはLDAPを通じて認証なしに乗っ取られる可能性があります。WebCenterはパブリックエッジに位置しています。これらの欠陥のいくつかはスコープを変化させる性質を持っており、最初に侵害された製品をはるかに超えた範囲にまで影響が及ぶ可能性があります」
JupiterOneのセキュリティ&コンプライアンス責任者であるChris Doyle氏も、Gogia氏と同様に、認証情報を盗むことなく実行できる脆弱性を最も懸念していると述べています。
「最も際立っているのは、Oracle CoherenceとWebLogic ServerにおけるCVSS 10.0の脆弱性であり、認証不要でリモートから悪用可能です。Coherenceは多くのエンタープライズアプリケーションスタックの基盤に位置しているため、これが侵害されるのは単一システムの問題ではなく、それに依存するすべてのシステムへの足がかりとなります」とDoyle氏は述べています。
さらに「WebLogicは長年にわたりランサムウェアや暗号通貨マイニングの標的となっており、認証なしのコンソールアクセスはまさにこれらの攻撃キャンペーンが求める足がかりです」と付け加えています。
Doyle氏はPeopleSoftの脆弱性についても懸念を示しています。
「最も緊急性が高いのは、PeopleSoft PeopleToolsのCVE-2026-35273です。Oracleはこのパッチのリリース前から既に積極的に悪用されていたことを確認しており、PeopleSoftはランサムウェアの攻撃者が特に狙うHR・財務・学生管理システムを担っています」とDoyle氏は述べています。「これらは複数のレイヤーにまたがる調整されたアップグレードが必要な密結合システムであり、各ステップでリグレッションテストが求められます。時間を稼ぐための簡単な補完的コントロールはほとんどなく、パッチ適用を進めるしかありません」
Fusion Middlewareの問題についても—Oracleは今回のバッチだけで30件以上の脆弱性を挙げています—EOL製品のパッチ適用に対するエンタープライズITの一般的な対処方法を考えると、大きな課題となっています。
「まだFusion Middlewareを使用している組織は、高度に標的化された製品にパッチを当てながら、同時に延期できない移行計画を進める必要があります。これらの環境は高度にカスタマイズされているためパッチ適用が遅くなりがちであり、『パッチが利用可能』から『パッチを適用済み』までのギャップこそ、攻撃者が動く瞬間です」とDoyle氏は述べています。
「サポートが終了すれば、新たな脆弱性にパッチが提供されなくなる可能性があります」と指摘しています。「このサイクルだけでもこれだけの件数が見られる以上、サポート終了期限前に状況が落ち着くと仮定するのは、私には取れないリスクです」
Gogia氏は、攻撃者による悪用がまだ確認されていないセキュリティホールについても、楽観視できる材料はほとんどないと付け加えています。
「他での悪用が確認されていないからといって、安心することはできません。アドバイザリが公開されると、攻撃者はそれを読み、修正を逆解析し、脆弱なエンタープライズ環境をスキャンして、まだメンテナンスウィンドウを待っている顧客との競争を始めます」とGogia氏は述べています。
「WebLogicが突然危険になったわけではありません。何年も前から継続的な標的となっており、以前の欠陥の一つはすでに[悪用が確認された脆弱性(KEV)]の政府カタログに掲載されています。公開された悪用の証拠を待つのは、利用できるパッチ戦略の中で最もコストの高い選択肢です。証拠が届く頃には、静かな侵害作業はおおむね完了しています」
