研究者、Oracleの新たな重大な欠陥を悪用する動きを確認

サイバー犯罪者が土曜日、Oracle E-Business Suiteの決済処理機能に存在する重大な欠陥を悪用したことが分かりました。研究者によれば、これはより広範なキャンペーンの初期段階を示している可能性があるといいます。

脅威インテリジェンス企業のDefusedは、自社のハニーポット(非本番環境で悪意ある活動を監視するために設計されたおとりシステム)上で、2時間の間に6件の悪用を検知しました。同社の創業者兼CEOであるSimo Kohonen氏がCyberScoopに明らかにしました。

Oracleはこの脆弱性を公表し、パッチを提供しました。深刻度9.8と評価され、CVE-2026-46817として追跡されているこの脆弱性は、5月下旬に公表されたもので、Oracleは悪用の難易度が低いと警告していました。

Kohonen氏によると、これらの悪用行為は単一のIPアドレスに起因しており、概念実証(PoC)コードが公開される前に発生していたとのことです。 

「1つのIPアドレスと1日分のデータしかない状況では、特定の被害者を狙った標的型キャンペーンというよりも、偵察や武器化のテストのように見えます」と同氏は付け加えました。

実運用中のネットワークにおいて悪意ある活動が拡大する可能性は、無視できないものです。Shadowserverのスキャンでは、水曜日の時点でOracle E-Business Suiteの脆弱性を抱えている可能性のあるインスタンスが約950件見つかっており、公開されているこれらの展開環境の半数以上が米国に所在しています。 

この欠陥は、攻撃者がこれまで広範な攻撃キャンペーンで標的にしてきた、人気の高い業務アプリケーション群に影響を及ぼします。 

悪名高いランサムウェアグループのClopは昨年、Oracle E-Business Suiteのゼロデイ脆弱性やその他の脆弱性を悪用した後、数十件の被害者から金銭を脅し取ろうとしました。この執拗な恐喝キャンペーンは10月に本格化しましたが、これはClopがこの欠陥を悪用して大量のデータを窃取してからおよそ2か月後のことでした。

Oracleの顧客は最近、人事や顧客関係管理向けの40以上のツールを含むPeopleSoftのゼロデイ脆弱性が実際に悪用される被害にも遭っています。 

MandiantとGoogle Threat Intelligence Groupによると、5月下旬から続くこの攻撃キャンペーンの実行者であるShinyHuntersは、主に高等教育機関を中心に100を超える組織のネットワークに侵入した可能性があるとのことです。

翻訳元: https://cyberscoop.com/oracle-ebs-critical-vulnerability-exploited/

ソース: cyberscoop.com