読了時間:2分
出典:GK Images(Alamy Stock Photo経由)
オラクルのアイデンティティ・マネージャーに存在する重大な脆弱性が実際に悪用されており、エンタープライズソフトウェア大手の顧客にとって新たな脅威となっています。
CVE-2025-61757は、Oracle Fusion Middlewareのアイデンティティ・マネージャーソリューションにおけるリモートコード実行(RCE)の脆弱性です。この脆弱性は9.8のCVSSスコアを受けており、10月21日にオラクルの月例セキュリティアップデートで他の373件の脆弱性とともに初めて公開・修正されました。
AssetNoteのセキュリティ研究者であるAdam KuesとShubham Shahは、クラウドサービスの侵害を受けてオラクルのソフトウェアを詳しく調査した結果、今年初めにこの脆弱性を発見しました。この侵害は、以前の脆弱性CVE-2021-35587の悪用に起因すると報じられています。AssetNoteの親会社であるSearchlight Cyberは、CVE-2025-61757の技術分析を木曜日に公開し、この脆弱性が容易に悪用可能であると警告しました。
翌日、米国サイバーセキュリティ・インフラストラクチャ庁(CISA)は、この脆弱性を既知の悪用脆弱性(KEV)カタログに追加しました。悪用活動の範囲は不明ですが、連邦政府の民間行政機関(FCEB)は12月12日までにCVE-2025-61757の修正を完了する必要があります。
セミコロンがアイデンティティ・マネージャーを混乱させる
Searchlight Cyberの調査で、KuesとShahは、今年初めのOracle Cloudの侵害を受けて、クラウドサービスのログインホスト周辺のソフトウェアを調査するきっかけになったと説明しています。この侵害は、Oracle Access Manager(OAM)の脆弱性CVE-2021-35587に関連しており、攻撃者はサービスのホストlogin.us2.oraclecloud.comでRCEを実現しました。
「これはこれまでで最も重大なクラウドプロバイダーの侵害の一つであり、皮肉なことに、彼ら自身のソフトウェア(しかもセキュリティパッチが適用されていない古いバージョン)を運用していたことが原因でした」と彼らは記しています。
2人は、2021年の脆弱性と同様の影響を及ぼす可能性のある、Oracle Identity Manager(OIM)の別のRCE脆弱性CVE-2025-61757を発見しました。「私たちが発見したこの認証前RCEも、OAMとOIMの両方が稼働していたlogin.us2.oraclecloud.comを侵害できたでしょう」とKuesとShahは述べています。
コードベースを調査した結果、研究者たちは公開されたREST管理APIを発見し、「危険な機能が多数存在していた」と述べています。最終的に、KuesとShahは、ウェブルートやGETパラメータを操作することで、APIの認証を完全に回避できることを突き止めました—場合によっては、宛先URLに単純にセミコロンを追加するだけで可能でした。
研究者によると、この脆弱性の根本原因は、Javaアプリケーションのセキュリティフィルターによくある問題でした。「私たちのチームが発見した脆弱性は、Javaによく見られるパターンに従っています。認証を制限するために設計されたフィルターには、しばしば簡単に悪用できる認証バイパスの欠陥が含まれています」とKuesとShahは記しています。「JavaがリクエストURIを解釈する際の論理的な欠陥は、マトリックスパラメータと組み合わさることで、継続的な脅威となります。」
オラクルの顧客は、CVE-2025-61757が実際に悪用されているため、できるだけ早くソフトウェアをアップデートする必要があります。CVE-2025-61757への攻撃は、今年初めのOracle Cloud侵害や、最近のOracle E-Business Suite顧客を標的としたデータ窃取および恐喝キャンペーンにも続いています。
