米サイバーセキュリティ・インフラセキュリティ庁(CISA)は、Oracle Paymentsの乗っ取りにつながる可能性のあるOracle E-Business Suiteの権限管理不備の脆弱性であるCVE-2026-46817が、攻撃者によって実際に悪用されていると警告しました。
政府機関
同庁は2026年7月15日、この問題を既知の悪用された脆弱性カタログ(KEVカタログ)に追加し、対象となる連邦政府機関に対して2026年7月18日までの修正を指示しました。
CISAが警告、Oracle E-Business Suiteが実際に悪用されている状況
CVE-2026-46817は、企業が決済処理や関連する財務業務を管理するために利用するOracle E-Business Suiteのコンポーネント、Oracle Paymentsに影響します。
CVEレコードによると、ネットワーク経由でHTTPアクセス可能な未認証の攻撃者がこの脆弱性を悪用し、Oracle Paymentsを侵害できるとされています。悪用に成功すると、外部の攻撃者が対象アプリケーションを制御下に置く可能性があり、決済ワークフロー、財務データ、業務記録、さらには連携する企業システムが露出する恐れがあります。
この脆弱性は、CWE-269(不適切な権限管理)、CWE-287(不適切な認証)、CWE-306(重要な機能に対する認証の欠如)に分類されています。
これらの脆弱性カテゴリーを総合すると、対象の機能はOracle Paymentsの特権操作へのアクセスを許可する前に、認証・認可の制御を正しく行えていない可能性があることを示しています。
CISAは、技術的な悪用の詳細、侵害の痕跡(IOC)、あるいはこの脆弱性を悪用している脅威アクターに関する情報は公開していません。また、ランサムウェアキャンペーンでの使用については「不明」と記載しています。
ただし、KEVカタログへの追加は、実際の悪用が観測されたことを裏付けるものであり、この問題が理論上のリスクではなく、直ちにパッチを適用すべき優先事項であることを意味します。
連邦政府機関は、悪用リスクに基づいてセキュリティ更新の優先順位を定めるCISAの拘束力のある運用指令(Binding Operational Directive)26-04に従い、ベンダー提供の緩和策を適用する必要があります。
CISAはまた、各機関に対してフォレンジック分析要件に従い、影響を受ける各資産のインターネット露出状況を評価し、該当するクラウドサービスに関するガイダンスを適用するよう指示しました。勧告によると、有効な緩和策を実施できない組織は、脆弱性のある製品の使用を中止すべきだとしています。
Oracle E-Business Suiteを運用する民間企業は、7月18日の期限を緊急の目安として扱うべきです。セキュリティチームは、Oracle Paymentsのインスタンスを特定し、それが外部からアクセス可能かどうかを判断したうえで、Oracleが提供する修正プログラムや緩和策を直ちに適用する必要があります。
管理者はまた、予期しない特権操作、異常なHTTPリクエスト、新規アカウントの作成、決済設定の変更、Oracleアプリケーションサーバーからの不審な発信トラフィックなど、不審な動きがないかWeb・アプリケーション・認証・決済システムのログを確認する必要があります。
Oracle E-Business Suiteは、価値の高い財務・ERP環境で運用されることが多いため、侵害が発生した場合、影響は一つのアプリケーションにとどまらない可能性があります。
インシデント対応担当者は、横方向の移動や不正な変更の痕跡がないか、連携するデータベース、ID管理システム、統合サーバー、決済関連のワークフローを調査する必要があります。
組織はまた、Oracle E-Business Suiteの管理インターフェースやアプリケーションインターフェースへのアクセスを制限し、ネットワークセグメンテーションを徹底するとともに、修復作業が完了するまでの間、HTTP経由で公開されているサービスを確実に保護する必要があります。
脅威検知とインシデント調査を加速し、SOCを強化 -> ANY.RUNをSOCに統合する今すぐ
翻訳元: https://gbhackers.com/cisa-warns-of-actively-exploited-oracle-e-business-suite-flaw/