Oracle E-Business Suite の CVE-2026-46817:実環境での脅威アクターの悪用を観測

Hackers Exploiting Critical Oracle E-Business Suite Vulnerability Actively in Attacks

2026/06/29 CyberSecurityNews — Oracle E-Business Suite (EBS) に存在する認証回避と権限昇格を可能にする深刻な脆弱性 CVE-2026-46817 を悪用する、未認証のリモート脅威アクターが、乗っ取りの活動を積極的に展開している。2026年6月27日から 28日にかけての週末に、ハニーポット・インフラで実際の攻撃活動が確認された。

脆弱性 CVE-2026-46817 は、Oracle E-Business Suite 内の Oracle Payments における、File Transmission コンポーネントに存在する深刻な脆弱性であり、CVSS 3.1 基本スコアは 9.8 と評価されている。HTTP 経由でネットワークにアクセス可能な未認証の攻撃者が、Oracle Payments の完全な掌握を達成できることから、機密性/完全性/可用性のすべてが損なわれる可能性が生じている。

影響を受けるバージョンは Oracle E-Business Suite 12.2.3 ~ 12.2.15 であり、CVSS ベクターは攻撃の複雑性が低く認証も不要であることを示しているため、大規模な悪用が容易である。

Oracle E-Business の脆弱性が悪用される

2026年6月下旬の週末に、Oracle E-Business Suite 用のハニーポットで CVE-2026-46817 の積極的な悪用が検出された。この脆弱性について、実環境で初めて確認された悪用であり、公開された PoC コードが存在しないことから、独自に開発した非公開のエクスプロイト機能を脅威アクターが利用している可能性がある。

Defused のハニーポットで捕捉された攻撃トラフィックでは、Oracle iPayment のファイル転送エンドポイント “/OA_HTML/ibytransmit” を標的とする POST リクエストが確認された。AS136787 PacketHub S.A. (France) を経由して活動する攻撃者の IP アドレス 45.84.137[.]125 は、細工された XML DeliveryRequest ペイロードを、ポート 443 を標的として送信した。

Oracle E-Business Flaw Actively Exploited
Oracle Flaw Exploited (Source: Defused)

このペイロードには CODEX_PULL 転送スキームが含まれており、FULL_FILE_PATH パラメータには “/etc/passwd” が設定されていたことから、ローカル・ファイル読み取り/パス・トラバーサルの攻撃チェーンにより、機密性の高いシステム・ファイルを窃取する攻撃だと考えられている。

Shadowserver によると、6月28日には監視対象となる全地域で合計 456 件のヒットが確認され、攻撃トラフィックの大半は北米 (193 件)/アジア (181 件) に集中していた。その一方で、欧州は 53 件/南米は 18 件/アフリカは 9 件/オセアニアは 2 件であった。

Vulnerable Devices (Source: Shadowserver)

Oracle は、2026年5月28日に公開した May 2026 Critical Security Patch Update (CSPU) で、今回の脆弱性 CVE-2026-46817 に対処している。このアップデートでは、複数の Oracle 製品ファミリーにわたる 35 件の固有の CVE が修正されたが、そのうち 11 件は深刻な脆弱性に分類されている。

すべての顧客に対して Oracle は、パッチ公開後直ちに適用するよう強く推奨しており、その後 2026年6月16日に June 2026 CSPU を公開することで、この勧告の内容を補強した。

侵害の痕跡 (IOC)
IndicatorTypeDetail
45.84.137.125Attacker IPAS136787 PacketHub S.A., France
/OA_HTML/ibytransmitURL PathOracle iPayment File Transmission endpoint
ibytransmit-lab-poc/1.0User-AgentExploit tooling identifier
CODEX_PULL_*Transmission SchemeOracle Payments delivery scheme abuse
/etc/passwdFile TargetFULL_FILE_PATH parameter in exploit payload

Oracle E-Business Suite を運用する組織は、以下の対応を直ちに実施すべきである。

  • EBS バージョン 12.2.3 ~ 12.2.15 に対し、May 2026 CSPU パッチを遅滞なく適用する。
  • パブリック・インターネットからの Oracle EBS インターフェイスへのアクセスを、ブロックまたは制限する。特に “/OA_HTML/” を保護対象とする。
  • Web サーバ・ログを監査し、”/OA_HTML/ibytransmit” に対する異常な XML ペイロードを含む POST リクエストを確認する。
  • ファイアウォール/プロキシ・ログ全体を調査し、攻撃者の IP アドレス “45.84.137.125” および、User-Agent 文字列 “ibytransmit-lab-poc/1.0” を対象とした脅威ハンティングを実施する。
  • 2026年5月28日以降にパッチを適用している場合には、侵害評価を実施する。

公開された PoC コードは存在せず、非公開のエクスプロイト・ツールが使用されていることが確認されている。このため、パッチ未適用の Oracle EBS 環境は、システム全体が完全に侵害される深刻なリスクにさらされている。