CISAは、CVE-2025-61884として追跡されているOracle E-Business Suiteの脆弱性が攻撃で悪用されていることを確認し、既知の悪用済み脆弱性カタログに追加しました。
BleepingComputer
Oracleはこの脆弱性を10月11日に公開し、深刻度7.5と評価、容易に悪用可能で「重要なデータへの不正アクセスや、Oracle Configuratorでアクセス可能なすべてのデータへの完全なアクセス」に利用される可能性があると警告しました。
しかし、Oracleはこの脆弱性が以前に悪用されていたことを公表していませんが、BleepingComputerは、ShinyHuntersおよびScattered Lapsus$恐喝グループによってリークされたエクスプロイトをアップデートがブロックしていることを確認しています。
攻撃を受けるOracle E-Business Suite
10月初旬、MandiantはClopランサムウェアグループが企業に恐喝メールを送信し始めたことを明らかにし、ゼロデイ脆弱性を利用してOracle E-Business Suiteインスタンスからデータを盗んだと主張していました。
これに対しOracleは、攻撃者が7月に公開された既に修正済みの脆弱性を悪用したと発表しました。
10月3日、ShinyHuntersはOracleのエクスプロイトをTelegramでリークし、Clopによって使用されたことを示唆しました。翌日、OracleはCVE-2025-61882を公開し、リークされたPoCをインジケーター・オブ・コンプロマイズ(IOC)の一つとしてリストしました。
しかし、CrowdStrikeとMandiantの調査により、Oracle EBSが2つの異なるキャンペーンで標的にされていたことが明らかになりました。
- 7月のキャンペーン:「
/configurator/UiServlet」エンドポイントのSSRF脆弱性を狙ったエクスプロイトが使用され、これがCVE-2025-61884であることが確認されました。 - 8月のキャンペーン:「
/OA_HTML/SyncServlet」エンドポイントに対する別のエクスプロイトが使用され、mod_securityルールによるエンドポイントのブロックとSYNCSERVLETクラスのスタブ化によりCVE-2025-61882として修正されました。この脆弱性はClopに起因しています。
watchTowr LabsもShinyHuntersによるリークエクスプロイトの分析を公開し、UiServletのSSRF攻撃チェーンを標的にしており、SyncServletではないことを確認しました。
Oracleは10月11日にCVE-2025-61884を公開しましたが、7月の攻撃で使用されたエクスプロイトを修正したにもかかわらず、悪用されたかどうかは確認していません。
BleepingComputerは、CVE-2025-61884のパッチが攻撃者が指定した「return_url」を正規表現で検証することで脆弱性に対応していることを確認しました。検証に失敗した場合、リクエストはブロックされます。
現在に至るまで、OracleがShinyHuntersのエクスプロイトをCVE-2025-61882のIOCとしてリストした理由は不明のままです。実際にはCVE-2025-61884用であるにもかかわらず、Oracleはこの誤ったIOCについてBleepingComputerのメールに回答していません。
BleepingComputerは再度、OracleにCVE-2025-61882の脆弱性を悪用済みとしてマークするかどうか問い合わせましたが、メールへの返信はありませんでした。
