米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、ゼロデイとして悪用された可能性のある Oracle Identity Manager の脆弱性 CVE-2025-61757 について、政府機関に対しパッチ適用を行うよう警告している。
CVE-2025-61757 は、Searchlight Cyber のアナリストである Adam Kues 氏と Shubham Shah 氏によって発見・公開された、Oracle Identity Manager における認証前リモートコード実行(RCE)脆弱性である。
この欠陥は、Oracle Identity Manager の REST API における認証バイパスに起因するもので、URL パスに ?WSDL や ;.wadl といったパラメータを付与することで、セキュリティフィルタを欺き、本来は保護されているエンドポイントを公開エンドポイントとして扱わせることが可能になる。
一度、未認証アクセスが得られると、攻撃者は Groovy スクリプトに到達できる。これは通常スクリプトを実行しないコンパイル用エンドポイントだが、Groovy のアノテーション処理機能を悪用することで、コンパイル時に悪意あるコードを実行させることができる。
これらの欠陥を連鎖させることで、研究者らは影響を受ける Oracle Identity Manager インスタンスに対して、認証前のリモートコード実行を達成した。
この脆弱性は、10 月 21 日にリリースされた Oracle の 2025 年 10 月セキュリティアップデート の一部として修正された。
昨日、Searchlight Cyber は、この脆弱性の技術的な詳細と、それを悪用するために必要なすべての情報を含む技術レポートを公開した。
「過去の一部の Oracle Access Manager の脆弱性と比べると、今回のものは比較的単純で、脅威アクターにとって容易に悪用可能です」と、研究者らは警告している。
CVE-2025-61757 は攻撃で悪用されている
本日、CISA は、Oracle の CVE-2025-61757 脆弱性をその 既知の悪用済み脆弱性(KEV)カタログに追加し、連邦民間行政機関(FCEB)に対し、拘束力のある運用指令(BOD)22-01 に基づき、12 月 12 日までにこの欠陥へパッチを適用するよう期限を設けた。
「この種の脆弱性は、悪意あるサイバー攻撃者にとって頻繁に利用される攻撃ベクターであり、連邦エンタープライズに重大なリスクをもたらします」と CISA は警告している。
CISA は、この脆弱性がどのように悪用されたかの詳細を共有していないが、SANS Technology Institute の研究部門ディーンである Johannes Ullrich 氏は、昨日、この欠陥が早ければ 8 月 30 日の時点でゼロデイとして悪用されていた可能性があると警告した。
「この URL は、Oracle が問題を修正するはるか前の、今年 8 月 30 日から 9 月 9 日の間に複数回アクセスされていました」と、Ullrich 氏はISC Handler Diary の中で説明している。
「これをスキャンしている IP アドレスはいくつかありますが、いずれも同じユーザーエージェントを使用しており、単一の攻撃者によるものと考えられます。」
Ullrich 氏によると、脅威アクターは、Searchlight Cyber が公開したエクスプロイトと一致する、以下のエンドポイントに対して HTTP POST リクエストを送信していたという。
/iam/governance/applicationmanagement/templates;.wadl
/iam/governance/applicationmanagement/api/v1/applications/groovyscriptstatus;.wadl研究者によれば、これらの試行は 3 つの異なる IP アドレス、89.238.132[.]76、185.245.82[.]81、138.199.29[.]153 から行われていたが、いずれも同じブラウザのユーザーエージェントを使用しており、これは Windows 10 上の Google Chrome 60 に相当するという。
BleepingComputer は、Oracle に対し、この脆弱性が実際に攻撃で悪用されていることを検知しているかどうかを問い合わせており、回答が得られ次第、記事を更新する予定だ。
