🛡 概要
Oracleは、E-Business Suite(EBS)の新たな脆弱性に対して緊急のセキュリティ更新を発表しました。この脆弱性は、認証されていない攻撃者によってリモートで悪用される可能性があります。CVE-2025-61884として追跡されているこの情報漏洩の脆弱性は、EBSバージョン12.2.3から12.2.14に影響を及ぼし、成功裏に悪用されると、機密データがリモートで盗まれる恐れがあります。
🔍 技術詳細
この脆弱性は、CVE-2025-61884として識別され、CVSSベーススコアは7.5に設定されています。Oracleによれば、この脆弱性は認証なしでリモートから悪用可能であり、ネットワークを通じてユーザー名やパスワードなしで悪用される可能性があります。CrowdStrikeは、CVE-2025-61882の悪用を早くも観測しており、データ盗難攻撃においてClopがこの脆弱性を利用したと報告しています。また、watchTowr Labsの研究者は、CVE-2025-61882が認証なしの攻撃者にリモートコード実行を可能にする脆弱性チェーンであることを確認しました。
⚠ 影響
CVE-2025-61884が成功裏に悪用されると、機密リソースへのアクセスが可能になるため、企業にとって深刻なリスクをもたらします。特に、EBSがインターネットに接続されている場合、攻撃者は容易にアクセスできるため、注意が必要です。Clopのようなサイバー犯罪グループは、過去に多くの企業を標的にしており、その影響は広範囲に及ぶ可能性があります。Oracleは、CVE-2025-61884が実際に悪用されているかどうかは確認していませんが、EBSインスタンスが積極的に狙われている現状を踏まえると、迅速な対応が求められます。
🛠 対策
Oracleは、CVE-2025-61884に対するパッチを適用することを強く推奨しています。企業は、セキュリティアラートで提供される更新や緩和策をできるだけ早く適用し、システムを保護する必要があります。また、EBSのインスタンスがインターネットに接続されている場合は、特に注意が必要です。定期的なセキュリティチェックや脆弱性評価を行い、最新のパッチを適用することで、リスクを軽減することが重要です。これにより、攻撃者による悪用を防ぎ、企業のデータを安全に保つことができます。
