CISAは、米国連邦機関に対し、積極的に悪用されているOracle Identity Manager(OIM)の脆弱性に対して3週間以内にパッチを適用するよう命じました。攻撃者が修正がリリースされる数か月前からこのバグを悪用していた可能性を示す証拠があり、対応の緊急性が高まっています。
この脆弱性は、CVE-2025-61757として追跡されており、現在はCISAの既知の悪用脆弱性カタログに掲載されています。「容易に悪用可能」であり、ネットワークアクセスを持つ認証されていない攻撃者がOIMを侵害し、システムの完全な乗っ取りを可能にします。
「Oracle Fusion Middlewareには、重要な機能に対する認証が欠落している脆弱性があり、認証されていないリモート攻撃者がIdentity Managerを乗っ取ることができます」とCISAは警告しています。
各機関は、12月12日までにこの脆弱性に対してパッチを適用するよう指示されており、従わなければ通常の連邦コンプライアンス違反の結果に直面することになります。
この脆弱性を発見したSearchlight Cyberの研究者、Adam Kues氏とShubham Shah氏は、この脆弱性の技術的な詳細解析を公開しており、犯罪者がいかに簡単にこれを武器化できるかについて率直に述べています。
研究者らは、悪用は「非常に簡単」とし、OIMの通常の認証フローを回避し、最終的に攻撃者にリモートのシステムレベルの制御を与える単一のHTTPリクエストについて説明しています。Oracleは10月にこのバグを公表しましたが、積極的に悪用されているとは示していませんでした。
しかし、SANS ISCの学部長Johannes Ullrich氏による分析によると、攻撃者はOracleが把握するよりもはるか前からこの脆弱性を知っていた可能性があります。Ullrich氏が確認したトラフィックログでは、特徴的なOIMの悪用URLが8月30日から9月9日まで繰り返し現れており、Oracleが10月21日にパッチをリリースする数週間前のことでした。
「このURLは今年の8月30日から9月9日までの間に複数回アクセスされており、Oracleが問題にパッチを当てるはるか前のことです」とUllrich氏は記しています。「複数の異なるIPアドレスがこれをスキャンしていますが、すべて同じユーザーエージェントを使用しており、単一の攻撃者によるものと考えられます。」
ログから実際の侵害が確認されたわけではありませんが、パッチ適用前の脆弱性調査が明確に示されており、CVE-2025-61757が少なくとも1人の脅威アクターによってゼロデイとして利用されたという信頼できる根拠となっています。
CISAの警告は、野放し状態でどのように悪用されているかの詳細を提供していませんが、このタイミングはOracleにとって厄介なものとなっています。同社は今年初めにClopによるOracle E-Business Suite環境への襲撃で打撃を受けており、保険大手Allianz UKやベゾス所有の新聞The Washington Postを含む数十の組織が侵害されました。
この事件は、エンタープライズ向けOracleプラットフォームがアップデートに遅れることのリスクを浮き彫りにし、顧客のパッチ適用サイクルの遅れやOracleの脆弱性開示の不透明さに新たな疑問を投げかけました。
Oracleは、CISAの勧告以前に野放しでの悪用を確認していたか、またはCVE-2025-61757に関連するインシデントの顧客報告を受け取っていたかどうかについて、The Registerのコメント要請に応じませんでした。同社の10月の勧告では、この問題を重大と評価していましたが、ゼロデイ活動や悪用のテレメトリについては言及していませんでした。
この脆弱性を修正するには、Oracleが10月21日にリリースしたCritical Patch Updateを適用する必要があります。これは他の多数の修正も含まれています。現在12月12日の期限が迫る連邦機関にとって、確認された悪用、信頼できるゼロデイの証拠、そしてOracle特有の簡素なパッチノートが重なり、すでに逼迫しているセキュリティチームにとってはまたしても慌ただしい1か月となりそうです。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/11/24/cisa_oracle_identity_manager/
