最近修正されたOracle Identity Managerの脆弱性が、ゼロデイとして悪用された可能性があります。
この脆弱性(CVE-2025-61757)は、問題を発見しOracleに報告したSearchlight Cyberによって木曜日に公開されました。
このセキュリティ企業は、Oracle Identity Managerにおける認証前のリモートコード実行のクリティカルな脆弱性であると説明しています。このエクスプロイトは、認証バイパスの脆弱性と任意コード実行を組み合わせており、攻撃者がシステム全体を完全に乗っ取ることを可能にします。
Oracleは、2025年10月のパッチでCVE-2025-61757を修正し、認証なしで簡単に悪用可能なクリティカルな問題であることを認めました。
Searchlight Cyberは木曜日、この脆弱性により「攻撃者が認証フローを操作し、権限を昇格させ、組織のコアシステム全体を横断的に移動できる」と警告し、「ユーザーの個人情報や認証情報を扱うサーバーの侵害につながる可能性がある」と指摘しました。
SANS Technology Instituteは、Searchlightが木曜日に公開した技術情報とPoCコードを利用し、自身のハニーポットログに潜在的な悪用の兆候がないか確認しました。
SANSのJohannes Ullrichによると、Oracleがパッチをリリースする数週間前の8月30日から9月9日の間に、複数回の悪用の可能性が見られたとのことです。
「これをスキャンしているIPアドレスはいくつかありますが、すべて同じユーザーエージェントを使用しているため、単一の攻撃者によるものと思われます」とUllrich氏は説明しました。
広告。スクロールして続きを読む。
「残念ながら、これらのリクエストのボディは取得できませんでしたが、すべてPOSTリクエストでした」と彼は付け加えました。
専門家によれば、同じIPアドレスは以前にもLiferay製品の脆弱性(CVE-2025-4581)をスキャンしたり、バグバウンティに関連すると思われるスキャンを行っていたとのことです。また、これらのIPはLog4j脆弱性の悪用に関連するURLもスキャンしていました。
SecurityWeekはOracleにコメントを求めており、同社から回答があれば本記事を更新します。また、Searchlightにも、SANSが観測した活動が脆弱性を分析する過程で自社の研究者によって行われた可能性について問い合わせています。
翻訳元: https://www.securityweek.com/critical-oracle-identity-manager-flaw-possibly-exploited-as-zero-day/
