お問い合わせ
ブログ

Oracle EBS 脆弱性 CVE-2025-61884 : 認証なしで構成データに到達するRuntime UIの脆弱性

本稿では、CVE-2025-61884 の主要な内容とその脅威を整理し、CTI に基づいて外部に公開されている Oracle EBS を検知・点検する方法をご紹介します。

ナノバナナで生成したオラクルの風景

Oracle E-Business Suite(EBS)において CVE-2025-61884 が公開されました。影響対象は Oracle Configurator の Runtime UIであり、認証前の段階で HTTP リクエストのみで悪用可能です。悪用に成功すると、構成関連データへの不正アクセスが発生する可能性があります。公式の影響範囲は 12.2.3 ~ 12.2.14、CVSS スコアは 7.5(High) です。

同時期に報告された CVE-2025-61882(RCE、9.8) との連携にも注目が必要です。現場での観察では、RCE によって初期侵入を確立した後に Runtime UI の欠陥を悪用してデータを収集する一連のシナリオが確認されています。外部に公開されている EBS ポータルが存在するほど、リスクは高まります。

影響および脈略

Configurator Runtime UIは、製品構成、価格算出、受注ロジックなどの主要な業務フローと密接に結びついています。認証前の段階でアクセス制御に脆弱性があると、ログインなしで構成モデルや関連データ(価格表、ルール、サプライチェーン識別子など)にアクセスできる可能性があり、権限昇格・なりすまし・サプライチェーン攻撃の準備段階として悪用され得ます。

攻撃時によく確認されるエンドポイントのパターンは次のとおりです:

  • /OA_HTML/configurator/UiServlet
  • (一部環境) /OA_HTML/configurator/SyncServlet

運用チームは上記のパスを中心に、まず最近のアクセスログとエラーログを優先的に確認することを推奨します。

Oracle EBS:CVE-2025-61884 脆弱性 に関する Criminal IP 基盤ハンティング

CVE-2025-61884 に脆弱である可能性がある外部公開された Oracle EBS ポータルは、ブラウザタイトル、HTTP 応答バナー、特定のエンドポイントパスに特徴的な痕跡を残すため、これらを手がかりに速やかに識別できます。
脅威ハンティング用の検索エンジンである Criminal IP IT資産検索 では、以下のようなクエリを使って公開露出しているインスタンスを確認できます。

Criminal IP Search Query: OA_HTML”

Criminal IPの脅威ハンティングで検出された EBS Home Page Redirect インスタンス:1,048件

OA_HTML” クエリで検索した結果、2025年10月21日時点で世界中に 1,048件 のインスタンスが確認されました。国別分布は米国・中国・インド の順で多く、米国では 409件 が観測されています。
自社やサプライチェーン範囲に絞り込むには、org / country / port(443) といった条件を組み合わせると、特定企業やサプライチェーンの資産を検出できます。ポータルが検出された場合は、以下の代表的なパスに対する 応答・バナー・ヘッダーを追加で確認し、脆弱性の影響度を点検できます。

  • /OA_HTML/AppsLogin
  • /OA_HTML/portal.jsp
  • /OA_HTML/configurator/UiServlet
E-Business Suite Home Page Redirect バナー(ポート8020、応答200)を示す、ある IP アドレスの Criminal IP 検索結果

Criminal IP で確認されたある IP アドレスについて、インバウンドのリスクスコアは Critical と評価されており、合計 3つのオープンポート が検出されました。そのうち ポート8020 は EBS 関連の応答を返しており、関連する CVE が12件 記録され、悪用履歴が2件 存在していました。
これは、攻撃者が複数の脆弱性を連携・自動化して、初期アクセス → 権限昇格 → データ窃取へと進行させる可能性がある危険な環境であることを示しています。

Criminal IPハッキンググループでClop類似グループをモニタリング

最近の EBS ゼロデイ悪用キャンペーンでは、ゼロデイを専門的に悪用する組織が主要なアクターとして確認されています。特に Clop に類似したランサムウェア/データ窃取グループの活動が観測されています。
企業顧客向けの Criminal IP ハッキンググループ 機能を利用すると、関連アクターの概要タイムライン、活動地域、最新動向(CIP News)を一画面で確認できます。特定のグループとの直接的な結びつきが確定していない場合でも、IOC(侵害指標)や IOA(攻撃指標)、参照資料を根拠に防御の優先度を調整する際に有用です。

Criminal IP ハッキンググループでランサムウェアグループClopを検索した結果

対応推奨事項

  • パッチ適用
    セキュリティアラートに含まれる更新を優先的に適用してください。パッチ適用以前の遮断・緩和策はあくまで一時的な対処に過ぎません。
  • インターネット露出の最小化
    EBS(特にOA_HTML/Configurator 関連パス)は VPN やプロキシの認証の後ろに配置し、業務上必要なソース IP のみをホワイトリストで許可してください。
  • フロント保護の強化
    リバースプロキシや WAF で UiServlet/SyncServlet を対象に異常なパラメータやメソッドをブロック/チャレンジし、可能であれば当該箇所に追加認証(ヘッダー基盤や SSO)を導入してください。
  • ログベースの点検
    7月中旬以降から現在までのウェブアクセス、プロキシ/WAF、アプリケーションエラーログをまとめて分析してください。UiServlet/SyncServlet のリクエストパターン、大量の検索・ダウンロードイベント、セッション再利用、applmgr 等のデフォルトアカウントの異常動作を優先的に確認します。疑わしい挙動があれば、セッション・トークンの無効化、シークレットの差し替え、内部データアクセスと外部送信の相関分析を順次実施してください。
  • 機能範囲の縮小
    Configurator の権限やデータの範囲を最小化し、不要な機能は無効化してください。
  • 継続的なモニタリング
    前述のタイトル/パスに関するクエリを 7日/14日/30日周期で自動スキャンし、新規公開や構成変更を追跡してください。

FAQ

Q1. CVE-2025-61884は RCE ではないので、比較的危険性は低いですか?

いいえ。RCE(リモートでのコード実行)とは性質が異なりますが、CVE-2025-61884 がもたらすリスクは決して過小評価できません。特に RCE やその他の初期侵入脆弱性と組み合わされると、初期アクセス→権限昇格→機密データの収集・窃取といった連鎖的な攻撃シナリオが現実化し得ます。

Q2. パッチを適用すれば十分ですか?

いいえ。パッチ適用は必須かつ最優先の対応ですが、それだけで再露出や回避、検知逃れを完全に防げるとは限りません。多層防御(Defense-in-Depth)を推奨します。直ちに実施すべき対策は次のとおりです。

  1. パッチ適用
  2. 外部からのアクセスを遮断(예: VPN 適用、 許可したIPのみ許可)
  3. WAF ルールおよびログベースの検知ルールを追加・強化

結論

CVE-2025-61884 は EBS において認証前の段階でデータアクセスを許してしまう可能性のある脆弱性です。対応の優先度は明確で、パッチ適用 → 外部公開の解消 → ログのフォレンジック → シークレットの差し替え → 継続的な監視の順で実施することが推奨されます。Criminal IP のタイトル/パスベースの検知を活用すれば、自社およびサプライチェーン単位での公開状況を一貫した基準で点検できます。

なお、関連してOracle Weblogic Serverの脆弱性「CVE-2020-2883」:5年間続いたサーバー掌握の脅威 をご参照ください。


本レポートは、サイバー脅威インテリジェンス検索エンジン Criminal IP のデータを基に作成されています。
今すぐCriminal IP の無料アカウントを作成すれば、本レポートで引用された検索結果を直接確認したり、さらに膨大な脅威インテリジェンスを自由に検索することができます。 

データソース : Criminal IP (https://www.criminalip.io/ja), Help Net Security(https://www.helpnetsecurity.com/2025/10/12/another-remotely-exploitable-오라클-ebs-vulnerability-requires-your-attention-cve-2025-61884/), The Register(https://www.theregister.com/2025/10/14/오라클_rushes_out_another_emergency/), 데일리시큐(https://www.dailysecu.com/news/articleView.html?idxno=201262)

関連記事 : https://www.criminalip.io/ja/knowledge-hub/blog/4831

Oracle EBS 脆弱性 CVE-2025-61884 : 認証なしで構成データに到達するRuntime UIの脆弱性 | Criminal IP(クリミナルアイピー) | Criminal IP