CISA warns Oracle Identity Manager RCE flaw is being actively exploited
2025/11/21 BleepingComputer — 積極的な攻撃で悪用されている Oracle Identity Manager の CVE-2025-61757 は、ゼロデイ攻撃の可能性がある脆弱性だ。この脆弱性 CVE-2025-61757 は、Searchlight Cyber のアナリスト Adam Kues と Shubham Shah が発見/公開した、Oracle Identity Manager の認証前リモートコード実行 (RCE) の脆弱性である。
この脆弱性は、Oracle Identity Manager の REST API における認証バイパスに起因する。URL パスに “?WSDL” や “;.wadl” のようなパラメータを追加することで、保護されたエンドポイントを、セキュリティ・フィルタがパブリック・アクセスとして扱うよう誘導される可能性がある。
未認証によるアクセスを確立した攻撃者は、通常はスクリプトを実行しない、Groovy スクリプトのコンパイル・エンドポイントにアクセスできる。しかし、Groovy のアノテーション処理機能の悪用により、コンパイル時に悪意のあるコードを実行するよう操作された可能性がある。
この一連の問題を追跡する研究者たちは、影響を受ける Oracle Identity Manager インスタンス上で認証前のリモートコード実行を実現した。なお、この脆弱性は、10月21日にリリースされた、Oracle の October 2025 Critical Patch Update で修正されている。
その一方で、昨日に Searchlight Cyber は、この脆弱性の詳細と悪用に必要な情報を提供する技術レポートを公開した。研究者たちは、「以前の Oracle Access Manager の脆弱性の複雑さと比べると、今回の脆弱性は脅威アクターにより容易に悪用される可能性がある」と警告している。
CVE-2025-61757 が攻撃で悪用される
10月21日に CISA は、Oracle の脆弱性 CVE-2025-61757 を KEV カタログに追加した。拘束力のある運用指令 (BOD) 22-01 に従い、連邦民政執行部 (FCEB) 機関に対して、この脆弱性を 12月12日までに修正するよう指示した。
CISA は、「この種の脆弱性は悪意のサイバー攻撃者が頻繁に悪用する攻撃経路であり、連邦政府機関に深刻なリスクをもたらす」と警告している。
この脆弱性の悪用の詳細について、CISA は明らかにしていないが、11月20日に SANS Technology Institute の Dean of Research である Johannes Ullrich は、この脆弱性が 8月30日の時点で、ゼロデイ攻撃に悪用されていた可能性があると警告した。
ISC Handler Diary で Johannes Ullrich は、「この URL は、今年の 8月30日から 9月9日の間で複数回アクセスされていたが、それが起きたのは、この問題に対して Oracle がパッチを当てるかなり前のことである。複数の異なる IP アドレスが、この URL をスキャンしているが、すべてが同じユーザー・エージェントを使用しているため、単一の脅威アクターによる攻撃の可能性がある」と説明している。
Johannes Ullrich によると、攻撃者は以下のエンドポイントへ向けて HTTP POST リクエストを発行しているが、その内容は Searchlight Cyber が公開したエクスプロイトと一致する。
/iam/governance/applicationmanagement/templates;.wadl
/iam/governance/applicationmanagement/api/v1/applications/groovyscriptstatus;.wadl
研究者によると、一連の攻撃は3つの異なる IP アドレス (89.238.132.76/185.245.82.81/138.199.29.153) から行われており、いずれも同じブラウザ・ユーザーエージェント (Windows 10 上の Google Chrome 60 に相当) を使用していたという。
BleepingComputer は Oracle に連絡し、攻撃で悪用された脆弱性の検出について問い合わせている。回答が得られ次第、記事を更新する予定だ。
Oracle Identity Manager の REST API における認証バイパスの脆弱性 CVE-2025-61757 が、CISA の KEV リストに登録されました。この脆弱性の原因は、特定のパラメータを URL に付与するだけで、本来は保護されるべきエンドポイントが公開扱いになってしまうという不適切な実装にあります。その結果として、未認証の脅威アクターが Groovy スクリプトのコンパイル機能にアクセスし、悪意のコードを実行する余地が生まれていたと、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、CISA KEV での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.