TokyoBlackHatNews

darkreading.com 4分で読了

欠陥のあるベンダーガイダンスが企業に回避可能なリスクをもたらす

読了時間:3分

ソフトウェア導入プロセスのステップを高速道路の車線のように示す道路標識の抽象画像

出典:Dima(Alamy Stock Photo より)

意見

Oracleの最新ゼロデイ(CVE-2025-61882)による影響は広がり続けており、ハーバード大学が最近、この脆弱性を狙った攻撃によるデータ漏洩を公表した。この脆弱性は「容易に悪用可能」とされるCVSSスコア9.8を持ち、認証されていないリモートコード実行(RCE)を可能にする。

OracleのE-Business Suiteのような統合型業務アプリケーションが標的となると、攻撃者は重要なデータや機能にアクセスできるため、非常に深刻である。この脆弱性自体は重大だが、E-Business Suiteはサービスの性質や格納されているデータの機密性から、本来インターネットに公開されるべきではなかった。この出来事は、導入ドキュメントと、それが企業システムを回避可能なリスクにさらす役割について疑問を投げかけている。

さらに攻撃を調査した結果、少なくとも部分的にはこの失敗は防げた可能性があることが分かった。
認証されていない攻撃者が、公開されたOracle E-Business Suiteインスタンスにリクエストを送り、アプリケーションがインターネットから攻撃者が制御するコードを実行するように仕向けた。成功すると、攻撃者はリバースシェルを使ってシステムへの対話的アクセスを獲得した。対話的アクセスにより、攻撃者は制限なくコマンド実行やファイルのアップロードが可能になる。この脆弱性により、ネットワークアクセスを持つ認証されていない攻撃者がOracle Concurrent Processingを侵害できる。このセキュリティチェーンにより、基幹業務アプリケーションが無防備な状態になってしまった。

ドキュメントの矛盾:WAFとバスチオンの違い

この脆弱性における最大の懸念は、侵害対応の即時的な混乱だけでなく、サイバーセキュリティ業界の攻撃対象領域管理に関するメッセージやガイドラインである。標準的な原則では、OracleのE-Business Suiteのような統合型業務アプリケーションは、インターネットではなく、エッジデバイスや仮想プライベートネットワークによるバスチオンの背後に安全に配置されるべきだとされている。なぜこれらのアプリケーションが無防備にされたのかは不明だが、さらなる調査で一つの仮説が浮かび上がる。

過去の導入ドキュメントでは、OracleはWebアプリケーションファイアウォール(WAF)が「この種の保護を提供するよう設計されている」と誤って主張し、E-Business Suiteが「インターネットに公開されている」場合のアプリケーション攻撃に対する防御策であるとしていた。さらに、Oracleはガイドラインに一般的なインジェクション脆弱性への防御ルールが含まれていると主張しているが、まさにこの種の認証不要な攻撃の初期ベクトルとなる弱点である。WAFは悪用の可能性を減らすには有効だが、攻撃者はしばしばこのような脆弱性を突く回避策を見つけてしまう。

この文献は、公式の導入ドキュメントと矛盾しており、公式ドキュメントでは「インスタンスごとに別々のサブネットを作成すること」を推奨し、「異なるサブネット間で適切なセキュリティ要件を実装できるようにする」としている。ドキュメントでは、Oracle E-Business Suiteはインターネットに公開されるべきではなく、もしインターネット公開が必要な場合はバスチオンホストを使ってインスタンスにアクセスすべきと認めている。最初の推奨事項に従いWAFに注力し、より複雑なネットワークセグメント化を行わなかったセキュリティチームは、意図せずEBSシステムを危険にさらした可能性がある。

残念なことに、他のサイバーセキュリティ当局、例えば英国のNational Cyber Security Centre(NCSC)なども、導入ドキュメントではなく誤解を招く記事へのリンクを誤って掲載している。

Oracleの矛盾したガイダンスは、ゼロデイ脆弱性が8週間以上にわたり実際に悪用されていたという事実によってさらに悪化している。被害者が警告を受ける前に、攻撃者は静かに機密データを盗み出していた。

このような侵害を防ぐには、適切なドキュメントが不可欠であり、テクノロジーベンダーは顧客に対して脆弱性に関する正しいガイダンスを提供しなければならない。最新の保護策や手順を提供しないことは、組織を危険にさらすことになる。Oracleは自社のガイダンスを徹底的に見直し、こうした攻撃に対して顧客に最善の防御策を提供していることを確認すべきである。他のベンダーも、自社のインフラが侵害された場合に同様の事態に陥らないよう、ドキュメントの見直しを行うべきだ。最後に、組織は常に自らのインフラの潜在的な露出を確認し、ベンダーの防御策だけに頼らず、十分な注意を払うべきである。

翻訳元: https://www.darkreading.com/vulnerabilities-threats/oracle-s-flawed-waf-guidance-left-its-customers-vulnerable-to-ransomware-attack

ソース: darkreading.com
#AI in Cybersecurity #Attack Surface Management #business data breach #CVE-2025-61882 #Oracle Cloud #Oracle E-Business Suite #RCE (Remote Code Execution) #Vendor Guidance #WAF vs Bastion #Zero-day Vulnerability

関連記事

Zoom CISO Sandra McLeod:AIはセキュリティの「役割代替者」ではなく「実現者」

FBIが警告したフィッシングキット「Kali365」、標的範囲をさらに拡大

DriveSurge:数千サイトを乗っ取り、ClickFixとFakeUpdate攻撃を展開