CISA KEV 警告 25/10/20：Oracle EBS／Windows SMB／Kentico／Apple の脆弱性を登録

Five New Exploited Bugs Land in CISA’s Catalog — Oracle and Microsoft Among Targets

2025/10/20 TheHackerNews — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は５件のキュリティ脆弱性を、Known Exploited Vulnerabilities (KEV) カタログに登録した。その中には、先日に公表された Oracle E-Business Suite (EBS) に影響を及ぼす脆弱性が含まれており、連邦政府機関への攻撃でも悪用されたことになる。この脆弱性 CVE-2025-61884 (CVSS：7.5) は、Oracle Configurator のランタイム・コンポーネントに存在するサーバサイド・リクエスト・フォージェリ (SSRF) の欠陥であり、攻撃者に対して重要なデータへの不正アクセスを許すものだ。CISA は、「この脆弱性は、認証を必要としないリモートからの悪用が可能だ」と述べている。

Oracle EBS に関しては、未認証の攻撃者に脆弱なインスタンス上での任意のコード実行を許す CVE-2025-61882 (CVSS：9.8) も、10月6日付で KEV に登録されている。したがって、今回の CVE-2025-61884 は、最近の攻撃にさらされている Oracle EBS の２番目の脆弱性となる。

今月の初めに Google Threat Intelligence Group (GTIG) と Mandiant が明らかにしたのは、脆弱性 CVE-2025-61882 の悪用により、数十の組織が影響を受けている可能性がある。

先週に GTIG の Senior Security Engineer である Zander Work は「現時点では、攻撃者と攻撃活動の紐づけは困難だが、確認した攻撃活動の一部は、Cl0p を名乗る恐喝者により実行された可能性が高い」と The Hacker News に語っている。

以下の４つの脆弱性も、CISA は KEV カタログに登録された。

CVE-2025-33073 (CVSS：8.8)： Microsoft Windows SMB クライアントにおける不適切なアクセス制御の脆弱性。権限昇格の可能性がある (2025年6月に Microsoft により修正済み)。

CVE-2025-2746 (CVSS：9.8)： Kentico Xperience CMS における、代替パス／チャネルを介した認証バイパスの脆弱性。この脆弱性により、Staging Sync Server のダイジェスト認証における空の SHA1 ユーザー名のパスワード処理が悪用され、管理オブジェクトの制御を攻撃者に許す可能性がある (2025年3月に Kentico により修正済み)。

CVE-2025-2747 (CVSS：9.8)：Kentico Xperience CMS における、代替パス／チャネルを介した認証バイパスの脆弱性。この脆弱性により、Staging Sync Server のパスワード処理が悪用され、None 型サーバの管理オブジェクトの制御を、攻撃者に許す可能性がある (2025年3月に Kentico により修正済み)。

CVE-2022-48503 ( CVSS：8.8)：Apple の JavaScriptCore コンポーネントにおける、配列インデックスの不適切な検証の脆弱性。Web コンテンツ処理時の、任意のコード実行につながる可能性がある (2022年7月に Apple により修正済み)。

現時点において、上記の脆弱性の悪用について、その詳細は不明である。ただし、CVE-2025-33073／ CVE-2025-2746／CVE-2025-2747 に関する詳細は、Synacktiv と watchTowr Labs の研究者たちから公開されている。

連邦民生行政機関 (FCEB) は、2025年11月10日までに特定された脆弱性を修正し、積極的な脅威から自身のネットワークを保護する必要がある。

脆弱性の原因の多くが、リクエスト処理や検証の不備／認証とアクセスの制御の欠落にあることが分かります。特に Oracle EBS の SSRF は、外部から任意のリクエストを誘導する恐れがある深刻なものです。また、認証バイパスや不適切な入力検証は、複雑度の低い攻撃であっても、内部リソースへの到達を許す弱点となります。よろしければ、2025/10/12 の「Oracle E-Business Suite の脆弱性 CVE-2025-61884：機密データへの不正アクセスの可能性」と、CISA KEV で検索を、ご参照ください。