Oracle E-Business Suiteに存在する認証不要の深刻な脆弱性が、現在野放しで悪用されています。ハニーポットのテレメトリデータにより、2026年6月27〜28日の週末に実際の攻撃試行が確認されました。
この脆弱性 CVE-2026-46817 は、Oracle E-Business Suite(EBS)のコアモジュールであるOracle Paymentsのファイル転送コンポーネントに存在する、最大深刻度の欠陥です。
CVSSv3.1ベーススコアは9.8と最高レベルの悪用可能性を示しており、EBSバージョン12.2.3から12.2.15に影響します。
この脆弱性は「容易に悪用可能」と分類されており、認証・ユーザーインタラクション・事前権限のいずれも不要です。
HTTP経由でネットワークにアクセスできる攻撃者は、Oracle Paymentsシステムを完全に掌握でき、機密性・完全性・可用性のすべてが失われます。これはまさにシステム完全乗っ取りの教科書的な定義に当てはまります。
2026年6月27〜28日の週末には、脅威アクターがOracle E-Business Suiteのハニーポットに対し、ポート443上の/OA_HTML/ibytransmitへのPOSTリクエストによる積極的な攻撃を試みていたことが確認されました。
攻撃元IPアドレス45.84.137.125はAS136787 PacketHub S.A.(フランス)に帰属しており、ユーザーエージェント文字列ibytransmit-lab-poc/1.0を使用した巧妙なXMLペイロードが送信されていました。これは専用の攻撃ツールが使われたことを示しています。
ペイロードは、OracleのiPayment転送プロトコルを使用した構造化された<DeliveryRequest> XMLボディ内に埋め込まれた形で、/etc/passwdを標的とするローカルファイル読み取り攻撃を試みたものでした。
この脆弱性に対する公開概念実証(PoC)コードは存在しないにもかかわらず、エクスプロイトペイロードの巧妙さから、脅威アクターが独自の非公開ツールを開発していることがほぼ確実視されます。
Shadowserver Foundationが2026年5月30日から6月28日にかけて収集したハニーポットデータによると、攻撃トラフィックは世界各地に分布しており、最終観測日には北米(193件)、アジア(181件)、欧州(53件)、南米(18件)、アフリカ(9件)、オセアニア(2件)での検知が確認されています。
1日あたり400件を超えるイベント数が継続していることから、広範かつ継続的なスキャン・悪用キャンペーンが展開されていることがわかります。
Oracleは2026年5月28日にリリースした2026年5月クリティカルセキュリティパッチアップデート(CSPU)でCVE-2026-46817を修正しており、5つのOracle製品ファミリーにわたる計35件のCVEに対処しています。
Oracleは顧客に対してパッチの即時適用を強く推奨しており、サポートが継続されているEBSバージョンへの移行を組織に求めています。
過去に悪用実績がなく、すでに非公開の攻撃ツールが使用されている現状において、パッチ未適用のOracle EBSを稼働させている組織はシステム完全侵害の差し迫ったリスクにさらされています。即時パッチ適用は必須対応です。
翻訳元: https://cyberpress.org/critical-oracle-e-business-suite-bug/