900以上のOracle E-Businessインスタンスが攻撃にさらされる

Oracle E-Business Suite(EBS)のインスタンス900以上がオンライン上に露出していることが判明しました。現在、深刻なセキュリティ脆弱性を悪用した攻撃が進行中です。

この脆弱性(CVE-2026-46817として追跡)は、EBSのOracle Payments製品におけるFile Transmissionコンポーネントで発見されたもので、権限を持たない攻撃者がHTTPネットワークアクセスのみで、低い複雑度の攻撃により脆弱なシステムを乗っ取ることを可能にします。

Oracleは2026年5月のCritical Security Patch Updateの一環としてセキュリティ更新プログラムを公開し、この脆弱性を修正済みです。同社は顧客に対し、直ちにシステムへパッチを適用するよう呼びかけていました。

Oracleはこの脆弱性についてまだ攻撃での悪用を確認したとは発表していませんが、脅威インテリジェンス企業のDefusedは月曜日、脅威アクターがすでにこの脆弱性を積極的に悪用していると警告しました。最初の攻撃試行は週末に確認されたということです。

CVE-2026-46817(CVSSスコア9.8、認証不要のHTTP経由乗っ取り、Oracle E-Business)が悪用されています。週末にかけて、当社のOracle E-Businessハニーポットに対してこの脆弱性を悪用する攻撃者の活動を観測しました。この脆弱性にはこれまで悪用が確認された記録がなく、公開されているPOCコードも存在しません」とDefusedは述べています

本日先ほど、インターネットセキュリティの監視団体Shadowserverも、オンライン上で約950件のOracle EBSインスタンスを追跡していると警告しました。ただし、これらのシステムのうちCVE-2026-46817による攻撃に対して対策済みのものがどれだけあるかについては情報がありません。

Image

​先月には、米サイバーセキュリティ・インフラセキュリティ庁(CISA)も、2年前にパッチが適用された深刻度の高いOracle WebLogic Serverの脆弱性(CVE-2024-21182)について、実際の攻撃で悪用されているとしてタグ付けを行いました

その数週間後には、OracleがPeopleSoft Suiteの深刻なゼロデイ脆弱性(CVE-2026-35273)に対する緩和策を講じました。この脆弱性はShinyHuntersの恐喝グループによって悪用され5月27日から6月9日にかけて認証を必要としないリモートコード実行を可能にし、世界中の多くの組織からデータを窃取するために使われました。被害組織にはノッティンガム大学全米保険監督官協会(NAIC)が含まれます。

直近では、Nissan(日産)も、自社のOracle PeopleSoftインスタンスが侵害された結果として、現従業員および元従業員に影響を及ぼすデータ漏えいについて警告を発しています

2025年8月初旬以降、恐喝グループのClopは別のOracle EBSセキュリティ脆弱性(CVE-2025-61882)をゼロデイ攻撃で悪用しています。標的には米国の複数の大学(ハーバード大学ペンシルベニア大学ダートマス大学フェニックス大学を含む)が含まれるほか、LogitechGlobalLogicWashington Postのような著名な被害者も出ています。

CISAは2021年11月以降、Oracle製品全体にわたる44件の脆弱性を実際に悪用が確認された脆弱性のカタログに追加しており、そのうち13件はランサムウェアグループによっても悪用されています。

攻撃者に先んじて、あらゆる層をテストする

セキュリティチームが検知できているのは成功した攻撃の54%にとどまり、アラートが発せられるのはわずか14%です。残りは環境内を気づかれないまま通過しています。

Picusのホワイトペーパーでは、breach and attack simulation(侵害・攻撃シミュレーション)がSIEMおよびEDRのルールをどのようにテストし、脅威の検知漏れを防ぐかを解説しています。

ホワイトペーパーを入手する

翻訳元: https://www.bleepingcomputer.com/news/security/over-900-oracle-e-business-instances-exposed-to-ongoing-attacks/

ソース: bleepingcomputer.com