週末にかけて、Oracle E-Business Suite(EBS)の決済処理モジュール「Oracle Payments」に存在する深刻な脆弱性(CVE-2026-46817)を標的とした悪用の試みが確認されました。脅威インテリジェンス企業のDefusedが月曜日に警告しています。
検出された悪用の試み(出典:Defused)
「2026年6月27日、当社のOracle E-Business Suiteデコイが、CVE-2026-46817の初のインザワイルド悪用を記録しました。Oracleの2026年5月パッチ公開から約6週間後、かつ公開済みのProof of Conceptが存在しない段階での出来事です」と同社は述べています。
「この活動は、単一のソースがPaymentsコンポーネントに対して未認証のファイル読み取りを実行したものです。広範なスキャンではなく、標的を絞ったProof of Conceptとみられます」
今回のエクスプロイトは、Oracle Paymentsのファイル転送コンポーネントにあるibytransmitエンドポイントを標的としており、Oracle内部のJava関数を直接呼び出してサーバ上のファイル(/etc/passwd)を読み取るようリダイレクトするものです。
ただし、同一の手法を悪用すれば、データベース認証情報・暗号化キー・決済プロセッサAPIキーなどが格納された設定ファイルといった、より機密性の高いファイルへのアクセスも可能になります。
組織向け推奨対策
Oracle Paymentsは、Oracle E-Business Suiteに組み込まれた決済処理エンジンであり、銀行やカードネットワークを通じた入出金の流れを、同社の財務アプリケーション全体で一元管理するものです。
CVE-2026-46817は、Oracle Paymentsのファイル転送コンポーネントに影響し、不適切な権限管理・不適切な認証・重要な機能に対する認証の欠如が原因となっています。
Oracleは本脆弱性を「容易に悪用可能」と評価しており、HTTP経由でネットワークアクセスを持つ未認証の攻撃者がリモートから悪用し、Oracle Paymentsを侵害・乗っ取ることができます。
この脆弱性に対するパッチは、Oracleが2026年5月下旬にリリースしています。
Oracle E-Business Suiteバージョン12.2.3〜12.2.15を運用している管理者は、Oracleの2026年5月Critical Security Patch Updateを直ちに適用してください。パッチ適用前は、EBSのWebインターフェースを内部ネットワークに限定し、インターネットに公開しないようにしてください。
セキュリティチームは、5月28日を過ぎてもパッチが未適用のインターネット公開EBSインスタンスを侵害済みとして扱い、/OA_HTML/ibytransmitへの不審なPOSTリクエストがないかログを精査する必要があります。侵害の痕跡が確認された場合は、完全なフォレンジック調査を実施し、そのホストに保存されているすべての認証情報とキーをローテーションしてください。
また、過去1年間に攻撃者が繰り返し悪用してきた深刻なEBS脆弱性のパターンを踏まえ、セキュリティチームは自社のEBS環境においてインターネット公開が本当に必要なコンポーネントがあるのかどうかを、改めて見直すべきでしょう。
翻訳元: https://www.helpnetsecurity.com/2026/06/30/oracle-payments-cve-2026-46817-exploitation/
