米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、Oracle Identity Managerに存在するリモートコード実行(RCE)の脆弱性CVE-2025-61757が活発に悪用されているとして、政府機関に警告を発しました。この脆弱性は、ゼロデイ攻撃として利用されていた可能性も指摘されています。
CVE-2025-61757は、Oracle Identity Managerの認証を回避し、未認証のリモート攻撃者がシステムを制御できるという深刻なものです。Searchlight Cyberのアナリスト、Adam Kues氏とShubham Shah氏によって発見され、OracleのREST APIにおける認証バイパスに起因します。具体的には、URLパスに「?WSDL」や「;.wadl」のようなパラメータを追加することで、セキュリティフィルターを欺き、保護されたエンドポイントを公開アクセス可能として扱うことが可能になります。
認証バイパスに成功した攻撃者は、Groovyスクリプトにアクセスし、悪意のあるコードをコンパイル時に実行させることができます。Groovyのアノテーション処理機能を悪用することで、本来はスクリプトを実行しないコンパイルエンドポイントを悪用し、リモートコード実行を達成します。この脆弱性は、Oracleが2025年10月にリリースしたセキュリティアップデートで修正されました。
Searchlight Cyberは脆弱性の詳細な技術レポートを公開し、攻撃に必要な情報をすべて提供しました。研究者らは、「過去のOracle Access Managerの脆弱性と比較して、今回の脆弱性は比較的単純で、攻撃者にとって容易に悪用可能である」と警告しています。CISAは、この脆弱性をKnown Exploited Vulnerabilities(KEV)カタログに追加し、連邦政府機関に対し、Binding Operational Directive(BOD)22-01に基づき、12月12日までにパッチを適用するよう義務付けました。
ゼロデイ攻撃の可能性と初期の兆候
CISAは脆弱性の悪用方法に関する詳細を公開していませんが、SANS Technology Instituteの研究部長であるJohannes Ullrich氏は、この脆弱性が8月30日からゼロデイとして悪用されていた可能性があると警告しています。Ullrich氏によれば、問題のURLはOracleがパッチをリリースする前の8月30日から9月9日の間に複数回アクセスされていました。
これらのアクセスは、89.238.132[.]76、185.245.82[.]81、138.199.29[.]153という3つの異なるIPアドレスから行われましたが、すべて同じブラウザのユーザーエージェント(Windows 10上のGoogle Chrome 60)を使用していたことから、単一の攻撃者によるものと推測されています。攻撃者は、Searchlight Cyberが公開したエクスプロイトと一致する以下のエンドポイントに対してHTTP POSTリクエストを発行していました。
- -/iam/governance/applicationmanagement/templates;.wadl
- -/iam/governance/applicationmanagement/api/v1/applications/groovyscriptstatus;.wadl
Ullrich氏は、「これらのリクエストの本文はキャプチャできませんでしたが、Content-Lengthヘッダーは556バイトのペイロードを示していました」と述べています。これらの初期の兆候は、脆弱性が公に知られる前に、すでに悪用されていた可能性を示唆しています。
脆弱性の詳細と悪用のメカニズム
CVE-2025-61757は、CVSSスコア9.8という非常に高い深刻度を持つ脆弱性です。影響を受けるバージョンは、12.2.1.4.0および14.1.2.1.0です。CISAは、「Oracle Fusion Middlewareには、重要な機能に対する認証の欠落の脆弱性が含まれており、認証されていないリモート攻撃者がIdentity Managerを乗っ取ることができる」と述べています。
Searchlight Cyberの研究者らは、この脆弱性により、攻撃者がAPIエンドポイントにアクセスし、「認証フローを操作し、特権を昇格させ、組織のコアシステム全体を水平方向に移動できる」と説明しています。具体的には、セキュリティフィルターのバイパスは、リクエストURIに対して正規表現または文字列マッチングに基づく不完全な許可リストメカニズムに起因します。これにより、攻撃者はURIに「?WSDL」または「;.wadl」を追加するだけで、保護されたエンドポイントを公開アクセス可能として扱うようにフィルターを欺くことができます。
この認証バイパスは、「/iam/governance/applicationmanagement/api/v1/applications/groovyscriptstatus」エンドポイントへのリクエストと組み合わせて、リモートコード実行を達成することができます。このエンドポイントは本来、Groovyコードの構文チェックのみを目的としていますが、Searchlight Cyberは「コンパイル時に実行されるGroovyアノテーションを作成することができた。コンパイルされたコードは実際には実行されないにもかかわらず」と述べています。
連邦政府機関への緊急対応指示
CISAがCVE-2025-61757をKEVカタログに追加したことは、この脆弱性が連邦政府機関にとって重大なリスクであることを示しています。Binding Operational Directive(BOD)22-01に基づき、連邦政府機関は2025年12月12日までに必要なパッチを適用し、ネットワークを保護するよう義務付けられています。
CISAは、このような脆弱性が悪意のあるサイバー攻撃者にとって頻繁な攻撃ベクトルであり、連邦政府機関に重大なリスクをもたらすと警告しています。この指示は、政府機関がサイバーセキュリティの脅威に迅速かつ効果的に対応するための重要な措置です。脆弱性の悪用が活発化している状況を踏まえ、早急な対応が求められます。
過去の類似事例と今回の教訓
過去にも、Oracle製品の脆弱性が悪用され、大規模な被害が発生した事例が複数存在します。これらの事例から、脆弱性管理の重要性、迅速なパッチ適用の必要性、そして多層防御の有効性が改めて認識されます。今回のCVE-2025-61757の事例は、認証バイパスという比較的単純な脆弱性が、いかに深刻な被害をもたらす可能性があるかを示しています。
企業や組織は、Oracle Identity Managerを含むすべてのソフトウェアのバージョンを常に最新の状態に保ち、セキュリティアップデートを迅速に適用する必要があります。また、脆弱性スキャンツールを導入し、定期的に脆弱性を評価することで、潜在的なリスクを早期に発見し、対応することができます。さらに、多要素認証(MFA)を導入することで、認証情報の盗難による被害を軽減することができます。
今回の事例は、サイバーセキュリティ対策における継続的な警戒と改善の必要性を強調しています。攻撃者は常に新たな脆弱性を探し、悪用しようと試みています。企業や組織は、最新の脅威インテリジェンスを活用し、セキュリティ対策を常に進化させる必要があります。
参考情報
本記事は以下の情報源を参考に作成されました:
- -CISA warns Oracle Identity Manager RCE flaw is being actively exploited - https://www.bleepingcomputer.com/news/security/cisa-warns-oracle-identity-manager-rce-flaw-is-being-actively-exploited/
- -CISA Warns of Actively Exploited Critical Oracle Identity Manager Zero-Day Vulnerability - https://thehackernews.com/2025/11/cisa-warns-of-actively-exploited.html