サイバーセキュリティ機関のCISAは、最近修正されたOracle Identity Managerの脆弱性が実際に悪用されていることを確認しました。
問題となっている脆弱性はCVE-2025-61757として追跡されており、OracleはIdentity Manager(Fusion Middlewareプラットフォームの製品)の2025年10月のパッチで修正しました。この脆弱性は、認証されていない攻撃者によるリモートコード実行に悪用される可能性があります。
SecurityWeekは金曜日、CVE-2025-61757がOracleによるパッチ公開の数週間前からゼロデイとして実際に悪用されていた可能性があると報じました。
この問題を発見しOracleに報告したSearchlight Cyberは、木曜日に技術的な詳細とPoCコードを公開し、容易に悪用される可能性があり、攻撃者が権限昇格や横展開を行い、機密データの漏洩につながる恐れがあると警告しました。
Searchlightが公開した技術情報に基づき、SANS Technology Instituteは自社のハニーポットログを調査し、8月30日から9月9日にかけて複数のIPアドレスから攻撃の試みと思われる痕跡を発見しました。
同じIPアドレスは他の製品の脆弱性を探してウェブをスキャンしているのも確認されており、バグバウンティに関連するスキャンも行っていました。
それにもかかわらず、Searchlightは金曜日にSecurityWeekへ、SANSが観測した活動は自社の研究者や影響を受けた組織への通知活動によるものだと伝えました。
しかし、土曜日にCISAはCVE-2025-61757を既知の悪用脆弱性(KEV)カタログに追加し、連邦機関に対して12月12日までにこの脆弱性へ対応するよう指示しました。
SecurityWeekは、SANSおよびSearchlightからさらなる説明を得ようとしています。CISAが別の情報源から攻撃を把握した可能性もあります。
同機関は過去に野放しで悪用されているという信頼できる証拠がある場合のみ、脆弱性をKEVカタログに追加すると指摘しています。
SecurityWeekが問い合わせたところ、Oracleは特に説明を行わず、2025年10月のセキュリティ・ブリテンを案内しましたが、そこにはCVE-2025-61757が実際に悪用されたことについては記載されていませんでした。
