Oracleは、ShinyHunters恐喝グループによって公開された概念実証エクスプロイトが積極的に悪用されていた、Oracle E-Business Suiteの脆弱性(CVE-2025-61884)を静かに修正しました。
この脆弱性は週末にリリースされた臨時のセキュリティアップデートで対処され、Oracleは「機密リソース」へのアクセスに悪用される可能性があると述べています。
「このセキュリティアラートは、Oracle E-Business Suiteの脆弱性CVE-2025-61884に対応しています」とOracleの勧告に記載されています。
「この脆弱性は認証なしでリモートから悪用可能であり、つまりユーザー名やパスワードがなくてもネットワーク経由で悪用される可能性があります。悪用に成功した場合、この脆弱性により機密リソースへのアクセスが可能となります。」
しかし、Oracleはこの脆弱性が実際に攻撃で悪用されていたことや、公開エクスプロイトがリリースされていたことについては明らかにしませんでした。
複数の研究者、顧客、そしてBleepingComputerは、CVE-2025-61884のセキュリティアップデートが、リークされたエクスプロイトで使用されていた認証前のサーバーサイドリクエストフォージェリ(SSRF)脆弱性に対応していることを確認しています。
BleepingComputerは、アップデートや実際の悪用に関する開示の欠如についてOracleに6回以上コメントを求めましたが、返答がなかったか、コメントを控えると回答されました。
混乱するOracleゼロデイの状況
今月初め、MandiantとGoogleは、企業がOracle E-Business Suite(EBS)システムから機密データが盗まれたと主張するメールを受け取る新たな恐喝キャンペーンの追跡を開始しました。
これらのメールはClopランサムウェアオペレーションから送信されており、ゼロデイ脆弱性を悪用した大規模なデータ窃取攻撃の長い歴史があります。
Clopは攻撃の詳細を共有しませんでしたが、BleepingComputerに対し、これらのメールの背後にいることと、データ窃取攻撃で新たなOracleの脆弱性を悪用したと主張しました。
「すぐに全てが明らかになるだろう。Oracleはコア製品にバグを仕込んでしまい、またしてもclopが事態を救うことになる」と恐喝グループはBleepingComputerに語りました。
恐喝メールに対し、OracleはClopが2025年7月に修正されたEBSの脆弱性を悪用していると述べ、顧客に最新のクリティカルパッチアップデートを適用するよう勧告しました。
その後まもなく、Scattered Lapsus$ Hunters(ShinyHuntersとしても知られる)という別の攻撃者グループが、Salesforceの顧客を恐喝するために使用されていたOracle E-Business SuiteのエクスプロイトをTelegramチャンネルで公開しました。
Oracleはその後、10月5日に新たなゼロデイ(CVE-2025-61882)がEBSに影響を与えていることを認め、緊急パッチをリリースしました。特に、Oracleの勧告にある侵害の指標(IOC)の一つがScattered Lapsus$ Huntersによって公開されたエクスプロイトを参照しており、関連性が示唆されました。
出典: Oracle
しかし、ここから状況は混乱し始めます。主にOracleや他のセキュリティベンダーの沈黙が原因です。
エクスプロイトがリークされた際、watchTowr Labsの研究者が解析し、これがサーバー上で認証なしにリモートコード実行を行うために使用できることを確認しました。このリークエクスプロイトは、攻撃チェーンの一部としてOracle E-Business Suiteの「/configurator/UiServlet」エンドポイントを最初に標的とします。
しかし、CrowdStrikeとMandiantはその後、2025年8月にClop恐喝グループが悪用したと考えられる全く異なる脆弱性についてのレポートを公開しました。このエクスプロイトは「/OA_HTML/SyncServlet」エンドポイントを最初に標的とします。
Mandiantの研究者もまた、2025年7月にScattered Lapsus$ HunterのリークされたPoCエクスプロイトがUiServletを標的とした悪用活動を確認したと述べています。
Mandiantは、10月4日にリリースされた最新パッチを適用することで、既知の全てのエクスプロイトチェーンから顧客が保護されると述べています。
「Oracleは10月4日にCVE-2025-61882のパッチをリリースし、UiServletコンポーネントを標的としたリークされたエクスプロイトチェーンを参照しましたが、MandiantはOracle EBSに関与する複数の異なるエクスプロイトチェーンを観測しており、10月2日の勧告の根拠となったのは別のチェーンである可能性が高い」とMandiantはレポートで説明しています。
「現時点では、どの特定の脆弱性/エクスプロイトチェーンがCVE-2025-61882に対応するかは不明ですが、GTIGは10月4日にリリースされたパッチを適用したOracle EBSサーバーは、既知のエクスプロイトチェーンに対してはもはや脆弱ではないと評価しています。」
BleepingComputerおよび他のサイバーセキュリティ研究者は、OracleがCVE-2025-61882向けにリリースしたパッチを解析しました。その結果、SYNCSERVLETクラスを無効化し、「/OA_HTML/SyncServlet」エンドポイントおよび悪意のあるテンプレート実行に使用される様々なテンプレートへのアクセスを防ぐmod_securityルールを追加することで、Clopエクスプロイトを無効化していることが分かりました。
しかし、ShinyHunterのPoCで悪用された脆弱性を修正するための変更は、CVE-2025-61882のセキュリティアップデートには含まれていませんでした。そのため、Oracleがなぜこれを勧告で言及したのかは不明です。
さらに、CVE-2025-61882が修正された後も、顧客や研究者は、テストの結果、リークされたエクスプロイトの少なくともSSRFコンポーネントは、現行パッチを適用しても依然として機能することをBleepingComputerに伝えました。
今週末にCVE-2025-61884のアップデートをインストールした後、同じ研究者や顧客は、SSRFコンポーネントが修正されたことをBleepingComputerに伝えています。
BleepingComputerが得た情報によると、CVE-2025-61884のパッチでは、攻撃者が指定する「return_url」を正規表現で検証し、失敗した場合はリクエストをブロックします。この正規表現は厳格な文字セットのみを許可し、パターンがアンカーされているため、CRLFの注入は拒否されます。
リークされたエクスプロイトがどのように機能するか正確に知りたい場合は、watchTowr Labsの解説を読むことをお勧めします。
依然として不透明
まだ混乱している方のためにまとめると:
- CVE-2025-61882 – MandiantとCrowdStrikeが解析したClopエクスプロイト。
- CVE-2025-61884 – watchTowr Labsが解析したShinyHunterのリークエクスプロイト。
現時点では、Oracleがなぜこのような形でエクスプロイトを修正し、IOCを取り違えたのかは不明です。
BleepingComputerはOracleに顧客の懸念について問い合わせましたが、返答がなかったか、コメントを控えると回答されました。
MandiantはBleepingComputerに対し、現時点では質問に回答できないと述べました。CrowdStrikeとwatchTowr Labsは、脆弱性に関する質問はOracleに問い合わせるよう案内しました。
Oracle E-Business Suiteの顧客は、エクスプロイトチェーンや技術情報が現在公開されているため、必ず最新のアップデートをインストールすることが強く推奨されます。
すぐに最新のアップデートをインストールできない場合は、リークされたエクスプロイトのSSRFコンポーネントを無効化するため、「/configurator/UiServlet」へのアクセスをブロックする新しいmod_securityルールを追加してください。
