Hackers Exploiting Critical Oracle E-Business Suite Vulnerability Actively in Attacks
2026/06/29 CyberSecurityNews — Oracle E-Business Suite (EBS) に存在する認証回避と権限昇格を可能にする深刻な脆弱性 CVE-2026-46817 を悪用する、未認証のリモート脅威アクターが、乗っ取りの活動を積極的に展開している。2026年6月27日から 28日にかけての週末に、ハニーポット・インフラで実際の攻撃活動が確認された。

脆弱性 CVE-2026-46817 は、Oracle E-Business Suite 内の Oracle Payments における、File Transmission コンポーネントに存在する深刻な脆弱性であり、CVSS 3.1 基本スコアは 9.8 と評価されている。HTTP 経由でネットワークにアクセス可能な未認証の攻撃者が、Oracle Payments の完全な掌握を達成できることから、機密性/完全性/可用性のすべてが損なわれる可能性が生じている。
影響を受けるバージョンは Oracle E-Business Suite 12.2.3 ~ 12.2.15 であり、CVSS ベクターは攻撃の複雑性が低く認証も不要であることを示しているため、大規模な悪用が容易である。
Oracle E-Business の脆弱性が悪用される
2026年6月下旬の週末に、Oracle E-Business Suite 用のハニーポットで CVE-2026-46817 の積極的な悪用が検出された。この脆弱性について、実環境で初めて確認された悪用であり、公開された PoC コードが存在しないことから、独自に開発した非公開のエクスプロイト機能を脅威アクターが利用している可能性がある。
Defused のハニーポットで捕捉された攻撃トラフィックでは、Oracle iPayment のファイル転送エンドポイント “/OA_HTML/ibytransmit” を標的とする POST リクエストが確認された。AS136787 PacketHub S.A. (France) を経由して活動する攻撃者の IP アドレス 45.84.137[.]125 は、細工された XML DeliveryRequest ペイロードを、ポート 443 を標的として送信した。

このペイロードには CODEX_PULL 転送スキームが含まれており、FULL_FILE_PATH パラメータには “/etc/passwd” が設定されていたことから、ローカル・ファイル読み取り/パス・トラバーサルの攻撃チェーンにより、機密性の高いシステム・ファイルを窃取する攻撃だと考えられている。
Shadowserver によると、6月28日には監視対象となる全地域で合計 456 件のヒットが確認され、攻撃トラフィックの大半は北米 (193 件)/アジア (181 件) に集中していた。その一方で、欧州は 53 件/南米は 18 件/アフリカは 9 件/オセアニアは 2 件であった。
Oracle は、2026年5月28日に公開した May 2026 Critical Security Patch Update (CSPU) で、今回の脆弱性 CVE-2026-46817 に対処している。このアップデートでは、複数の Oracle 製品ファミリーにわたる 35 件の固有の CVE が修正されたが、そのうち 11 件は深刻な脆弱性に分類されている。
すべての顧客に対して Oracle は、パッチ公開後直ちに適用するよう強く推奨しており、その後 2026年6月16日に June 2026 CSPU を公開することで、この勧告の内容を補強した。
侵害の痕跡 (IOC)
| Indicator | Type | Detail |
|---|---|---|
45.84.137.125 | Attacker IP | AS136787 PacketHub S.A., France |
/OA_HTML/ibytransmit | URL Path | Oracle iPayment File Transmission endpoint |
ibytransmit-lab-poc/1.0 | User-Agent | Exploit tooling identifier |
CODEX_PULL_* | Transmission Scheme | Oracle Payments delivery scheme abuse |
/etc/passwd | File Target | FULL_FILE_PATH parameter in exploit payload |
Oracle E-Business Suite を運用する組織は、以下の対応を直ちに実施すべきである。
- EBS バージョン 12.2.3 ~ 12.2.15 に対し、May 2026 CSPU パッチを遅滞なく適用する。
- パブリック・インターネットからの Oracle EBS インターフェイスへのアクセスを、ブロックまたは制限する。特に “/OA_HTML/” を保護対象とする。
- Web サーバ・ログを監査し、”/OA_HTML/ibytransmit” に対する異常な XML ペイロードを含む POST リクエストを確認する。
- ファイアウォール/プロキシ・ログ全体を調査し、攻撃者の IP アドレス “45.84.137.125” および、User-Agent 文字列 “ibytransmit-lab-poc/1.0” を対象とした脅威ハンティングを実施する。
- 2026年5月28日以降にパッチを適用している場合には、侵害評価を実施する。
公開された PoC コードは存在せず、非公開のエクスプロイト・ツールが使用されていることが確認されている。このため、パッチ未適用の Oracle EBS 環境は、システム全体が完全に侵害される深刻なリスクにさらされている。
訳者後書:今回の攻撃の要因は、 Oracle E-Business Suite (EBS) 内の Oracle Payments における、File Transmission コンポーネントの深刻な脆弱性 CVE-2026-46817 にあります。 HTTP を経由してネットワークから未認証の状態でアクセスできてしまうという、大きな問題が生じています。 攻撃の複雑性が低く、認証も不要なため、細工した XML のデータを送信する攻撃者に対して、 システムの完全な掌握や、 機密性の高いファイル の読み取りが許されてしまいます。 独自の攻撃ツールが使われているため、パッチが未適用の環境では、リモートからの乗っ取りリスクが非常に高くなっています。ご利用のチームは、ご注意ください。よろしければ、Oracle E-Business Suite で検索も、ご参照ください。

You must be logged in to post a comment.