Oracleは最近、Oracle Identity ManagerとOracle Web Services Manager の両方に影響する重大なリモートコード実行(RCE)脆弱性に関する緊急セキュリティ警告を発行しました。
CVE-2026-21992として追跡されているこの脆弱性により、攻撃者はユーザー認証を必要とせずにシステムをリモートで侵害することができます。
これらの影響を受けたFusion Middlewareコンポーネントを利用している組織は、潜在的なシステム乗っ取りとデータ流出を防ぐためにすぐに行動する必要があります。
CVE-2026-21992の発見は、これらのエンタープライズプラットフォームが受信ネットワークリクエストを処理する方法における深刻な弱点を強調しています。
エクスプロイトは事前の認証を必要としないため、脅威アクターは単に特別に細工されたネットワークパケットを対象システムに送信することができます。
攻撃者がこの脆弱性を正常に悪用できれば、ホストサーバー上で直接任意のコードを実行できます。
このレベルの深いシステムアクセスにより、攻撃者はマルウェアを展開し、機密の企業アイデンティティデータを流出させたり、企業内ネットワーク内でさらにピボットしたりすることができます。
セキュリティチームは、Oracleが一般的脆弱性評価システム(CVSS)バージョン3.1を使用してこの脆弱性の深刻度を評価していることに注意する必要があります。
アドバイザリーは脅威アクターによる迅速なリバースエンジニアリングを防ぐために、エクスプロイトのステップバイステップの技術的詳細を意図的に隠していますが、結果としてのリスク行列は重要なコンテキストを提供します。
この脆弱性は標準的なネットワークプロトコル上でトリガーされます。つまり、HTTPS のようなセキュアプロトコルのバリアントでも、管理者が必要な更新を適用するまで同様に悪用にさらされています。
Oracleは、すべての顧客に対して緊急に軽減策を適用するよう強くお勧めします。ソフトウェアベンダーは、管理者はアクティブにサポートされているバージョンで環境を保持し、重大なセキュリティパッチを遅延なくインストールする必要があることを強調しています。
パッチプロセスを延期することは、エンタープライズアイデンティティおよびWebサービスインフラストラクチャを機会主義的なサイバー犯罪者による自動スキャンおよび迅速な悪用に対して非常に脆弱な状態に保ちます。
このセキュリティ更新は、2つの主要なOracle Fusion Middlewareプロダクトの脆弱性に特に対処します。
管理者は現在のデプロイメントバージョンを確認し、My Oracle Supportから対応するパッチドキュメントを取得して環境を保護する必要があります:
Oracleは、ライフタイムサポートポリシーのプレミアムサポートまたは拡張サポートフェーズの対象となるプロダクトバージョンのみをテストしてパッチを提供しています。
これらのサポートウィンドウから外れたソフトウェアの反復は、この特定の脆弱性についてのテストを受けていません。
ただし、Oracleは、影響を受けるリリースの以前のバージョンもほぼ確実に同じ根本的な欠陥を保持していると警告しています。
その結果、サポート終了バージョンを使用している組織は、脅威を適切に軽減する前に、サポートされているリリースにアップグレードする必要があります。
Fusion Middlewareデプロイメントを管理する管理者は、ソフトウェアエラー修正サポートポリシーに従って、更新プロセス中のシステム安定性を確保する必要があります。
高度で持続的な脅威は日常的にOracleアドバイザリーを監視して新しいエクスプロイトチェーンを構築するため、迅速なパッチ展開がこのRCE脆弱性に対する唯一の信頼できる防御手段です。
セキュリティ研究者は、ネットワーク防御者にFusion Middlewareポートを対象とした異常なペイロード配信のネットワークトラフィック監視を強くお勧めしていますが、堅牢なセキュリティ姿勢を維持するにはパッチ適用が主要な指示として残っています。
翻訳元: https://cyberpress.org/oracle-releases-urgent-patch-for-critical-rce-flaw/