重大な認証前RCEの脆弱性がCISAのKEVカタログに追加され、連邦民間機関に対し12月12日までにOracleの10月パッチを適用するよう警告が出された。
サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、Oracle Identity Manager(OIM)における認証前の重大なリモートコード実行(RCE)の脆弱性を警告し、これが実際に悪用されていることを指摘して、既知の悪用済み脆弱性(KEV)カタログに追加した。
この脆弱性はSearchlight Cyberによって最初に特定され、完全な認証バイパスを可能にし、Groovyスクリプトのコンパイルエンドポイントの悪用によってRCEを実現できることが判明した。
「Oracle Cloudのログインホストおよび顧客の攻撃対象領域で稼働しているソフトウェアを詳しく調査したところ、Oracle Identity Managerに認証前RCEの脆弱性を発見しました」とSearchlightの研究者Adam Kues氏とShubham Shah氏はブログ投稿で述べている。「今回発見した認証前RCEは、OAMとOIMの両方が稼働していたlogin.us2.oraclecloud.comも侵害可能でした。」
現在修正済みのこのバグにより、Oracleのアイデンティティ管理ソフトウェアに依存している何百もの企業や政府機関が、ユーザー認証情報やIDセキュリティの面で潜在的に危険にさらされていた可能性があると研究者らは付け加えた。
Oracleは2025年10月のCritical Patch Update(CPU)でこの脆弱性の修正を提供しており、連邦民間機関はCISAの締切である2025年12月12日までに直ちに適用できる。
不備のある認証フィルターによりバイパスが可能
OIMの脆弱性は、URLパターンのホワイトリストを使用する認証フィルター実装に起因しており、これは既知のエラーを起こしやすい設計である。
研究者らは、「?WSDL」などのクエリ文字列や「;.wadl」などのパスパラメータを保護されたエンドポイント(例:「/iam/governance/applicationmanagement/templates;.wadl」)に付加することで、OIMのweb.xml内の「SecurityFilter」がそのルートを「未認証」と見なすことを発見した。つまり、認証が不要になるということだ。
フィルターを通過すると、攻撃者は本来Groovyコードの構文チェック用であって実行用ではないRESTエンドポイント「/application/groovyscriptstatus」に到達できる。しかし、Groovyのアノテーション処理のため、研究者らはコンパイル時にコードを注入し、アウトバウンドコールバックやコード実行を引き起こすことができることを実証した。
この脆弱性はCVE-2025-61757として追跡されており、悪用の容易さやゼロデイ悪用の存在が推定されることから、重要度9.8/10のクリティカル評価を受けている。「過去のOracle Access Managerの脆弱性の複雑さに比べて、今回のものは比較的単純で、脅威アクターによる悪用も容易です」と研究者らは指摘している。
パッチ適用の緊急性
OracleはCPUのアドバイザリで、この脆弱性を含む数百件の問題に対応した。研究者らは、これを一般的なJavaフィルターの脆弱性と呼び、攻撃者にとって既知の領域であると述べている。
「我々のチームが発見した脆弱性は、Javaにおけるおなじみのパターンに従っています。認証を制限するために設計されたフィルターには、しばしば簡単に悪用できる認証バイパスの脆弱性が含まれています」と彼らは述べている。「JavaがリクエストURIを解釈する際の論理的な欠陥は、マトリックスパラメータと組み合わさることで、今もなお攻撃者にとっての贈り物となっています。」
今回のケースでは、OIMバージョン12.2.1.4.0および14.1.2.1.0が影響を受ける。SANS Technology Instituteの研究部長Johannes Ullrich氏によれば、Searchlight Cyber Researchが提供した概念実証(POC)URLは、今年の8月30日から9月9日の間に「数回アクセスされた」という。
