Trusted Design

CVE-2022-21587 の詳細

CVEの情報

説明:
Vulnerability in the Oracle Web Applications Desktop Integrator product of Oracle E-Business Suite (component: Upload). Supported versions that are affected are 12.2.3-12.2.11. Easily exploitable vulnerability allows unauthenticated attacker with network access via HTTP to compromise Oracle Web Applications Desktop Integrator. Successful attacks of this vulnerability can result in takeover of Oracle Web Applications Desktop Integrator. CVSS 3.1 Base Score 9.8 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H).

CVE更新日: 2022-10-18 21:15:10.960000

CVSSバージョン: 3.1

CVSSスコア: 9.8

KEVの情報

KEV更新日: 2023-02-02

EPSSの情報

EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST(Forum of Incident Response and Security Teams)が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。

EPSSスコア: 0.943970000

EPSS更新日: 2026-04-16 00:00:00

SSVCの情報

SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation(悪用状況)、Technical Impact(技術的影響)、Automatable(自動攻撃の可否)を判定します。

Exploitation: active

Technical Impact: high

Automatable: True

AIを使った解説

解説:

CVE-2022-21587は、Oracle E-Business SuiteのOracle Web Applications Desktop Integrator製品に存在する認証バイパスの脆弱性です。以下に詳細を解説します。

1. 脆弱性の概要

CVE-2022-21587は、Oracle E-Business Suiteの「Oracle Web Applications Desktop Integrator」製品のアップロードコンポーネントに存在する、認証されていない任意のファイルアップロードの脆弱性です。この脆弱性により、認証されていない攻撃者がHTTP経由でネットワークアクセスすることで、影響を受けるシステムを完全に侵害する可能性があります。CISAのKnown Exploited Vulnerabilities (KEV) カタログにも追加されており、実社会での悪用が確認されています。

1.1 影響

この脆弱性は、認証されていないリモート攻撃者がOracle Web Applications Desktop Integratorを完全に制御することを可能にし、影響を受けるE-Business Suiteの機密性、完全性、および可用性の完全な侵害につながります。攻撃者は認証なしに任意のファイルをサーバーにアップロードでき、効果的にリモートコード実行への直接的な経路を提供します。この脆弱性の悪用は簡単であり、認証、ユーザー操作、または特別な権限を必要としません。攻撃者はこの欠陥を利用して、悪意のあるWebシェルや実行可能ファイルをアップロードし、侵害されたOracle E-Business Suite環境に対する永続的なアクセスと制御を獲得する可能性があります。 具体的には、リモートの攻撃者により、情報を取得される、情報を改ざんされる、およびサービス運用妨害 (DoS) 攻撃が行われる可能性があります。 また、この脆弱性はランサムウェアキャンペーンの一部として悪用されたことが知られています。

1.2 深刻度

CVSS 3.1の基本スコアは9.8(緊急)であり、機密性、完全性、および可用性への影響が「高」と評価されています。 CVSSベクターは (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H) です。

2. 対象となる環境

2.1 影響を受けるOSバージョン

特定のOSバージョンではなく、Oracle E-Business Suiteの以下のバージョンが影響を受けます。

  • Oracle E-Business Suite バージョン 12.2.3 から 12.2.11

2.2 影響を受ける設定

Oracle Web Applications Desktop Integrator製品の「Upload」コンポーネントが影響を受けます。具体的には、このコンポーネントにおける認証制御の欠如が根本原因です。 重要なファイルアップロード機能が適切なユーザー認証を必要とせずに公開されており、多層防御の原則に違反しています。

3. 影響を受けた時の兆候

NISC(内閣官房内閣サイバーセキュリティセンター)は、脆弱性を放置すればデータの改ざん・削除・漏洩などの恐れがあり、「患者の電子カルテをはじめとする医療データが暗号化され診療停止に追い込まれる」事態も発生しかねないと警告しています。 具体的には、攻撃者は悪意のあるPerlスクリプトをアップロードし、それがcurlまたはwgetを介して追加のスクリプトをフェッチし、悪意のあるバイナリペイロードをダウンロードして被害ホストをボットネットの一部にするという手法が観測されています。 また、任意のJava Server Pages (JSP) をアップロードしてPerl Webシェル以外の方法で悪用することも可能です。 CISAは2023年2月2日にこのCVEをKnown Exploited Vulnerabilities (KEV) カタログに追加しており、悪用されていることを示唆しています。 最初の悪用は、PoC公開直後の2023年1月21日に確認されています。

4. 推奨対策

4.1 本対策

Oracleが提供するセキュリティパッチを適用することが最も推奨される対策です。

  • OracleのCritical Patch Update (CPU) for October 2022以降を適用する
    • 特定のパッチ番号とインストール手順については、Oracle Critical Patch Update Advisoryを参照してください。

4.2 暫定回避策(緩和策)

  • ネットワーク制御の実装: 暫定的な緩和策として、ファイアウォールルールやWebアプリケーションファイアウォール (WAF) ポリシーを使用して、Oracle Web Applications Desktop Integratorコンポーネントへのネットワークアクセスを制限します。信頼できるIPアドレスからのアクセスのみに限定します。
  • ファイル整合性の検証: パッチ適用前に、重要なシステムファイルとアプリケーションファイルに対してファイル整合性チェックを実施し、不正な変更がないことを確認します。

参照したサイト

NVDサイト

NVDでCVEの詳細を見る

戻る