Exploitation of Oracle E-Business Suite Vulnerability Starts After PoC Publication
2023/02/03 SecurityWeek — Oracle E-Business Suite の深刻な脆弱性が、PoC エクスプロイト・コードの公開直後から悪用されている。Oracle E-Business Suite は、Oracle の主要製品群の1つであり、サプライチェーン管理 (SCM)/企業資源計画 (ERP)/顧客関係管理 (CRM) などのプロセスを、自動化するためのエンタープライズ・アプリケーションのセットである。
この脆弱性 CVE-2022-21587 (CVSS 9.8) は、Oracle のエンタープライズ製品である Web Applications Desktop Integrator に存在し、Oracle の October 2022 Critical Patch Update で対処されている。
NIST のアドバイザリによると、HTTP 経由でネットワーク・アクセスが可能な未認証の攻撃者が、このセキュリティ欠陥を悪用することで、Web Applications Desktop Integrator が侵害され、乗っ取りにいたるという。
今週に CISA は、この CVE-2022-21587 をKnown Exploited Vulnerabilities (KEV) カタログに追加した上で、Oracle ユーザーに対して、可能な限り早急にパッチを適用するよう促している。
ただし、先週に Shadowserver が警告を発したように、最初の悪用は 2023年1月21日に確認されている。同社は、「PoC が公開された直後である 1月21日以降に、Oracle E-Business Suite の脆弱性 CVE-2022-21587 (CVSS 9.8 RCE) に対する悪用の試みが、当社のハニーポット・センサーで確認されている」と述べている。
この PoC は、ベトナムに拠点を置くサイバー・セキュリティ企業 Viettel Cyber Security によるものであり、この脆弱性の詳細な分析と、悪用される可能性について、1月16日の時点で公表している。
Shadowserver のデータによると、現時点で観測されている悪用の試みは少ないとのことだ。しかし、パッチの未適用の Oracle 製品を狙う脅威アクターは多いため、間もなく攻撃回数が増加する可能性がある。
今週に CISA は、SugarCRM の深刻なリモートコード実行の脆弱性 CVE-2023-22952 の悪用が観測されたと警告している。この EmailTemplates に影響を与える脆弱性は、入力時の検証の欠落に起因しており、細工したリクエストを用いる攻撃者に対して、カスタム PHP コードの注入を許すものだと説明されている。
この脆弱性に対するパッチは、2023年1月11日にリリースされている。悪用が始まった直後の 2023年1月に Censys は、この脆弱性 CVE-2023-22952 への攻撃でハッキングされた、数百の SugarCRM サーバを確認したと報告している。
Oracle の脆弱性が CISA KEV に追加されるのは、2022/11/29 の「CISA KEV 警告 22/11/28:Oracle Fusion Middleware の深刻な脆弱性を追加」以来のことです。それ以前となると、CISA KEV 警告 22/09/08 にも、WebLogic Server が含まれていました。その他については、CISA KEV ページで、Oracle を検索してください。
IoT OT Security News 
You must be logged in to post a comment.