出典: Theo Fitzhugh via Alamy Stock Photo
ランサムウェアグループと中国の高度持続的脅威(APT)グループが、ベンダーによって公開され、緊急のアウトオブバンドアップデートで修正されたSAP NetWeaverの重大な脆弱性を標的にしています。
この脆弱性はCVE-2025-31324として追跡されており、CVSSスコアは10で、NetWeaverのVisual Composer開発サーバーに影響を与えます。脅威アクターはリモート攻撃を利用して認証なしに任意のコードを実行することで、この脆弱性を悪用し、システム全体の妥協を引き起こす可能性があります。
サイバーセキュリティベンダーのReliaQuestは、4月22日にゼロデイ脆弱性として悪用されていたCVE-2024-31324を最初に警告しました。SAPは4月24日に緊急パッチを発行しました。しかし、今月も悪用が続いています。
あらゆる側面からのサイバー脅威
ReliaQuestの研究者たちは、最初はこの脆弱性がリモートファイルインクルージョン(RFI)問題であると疑っていました。「しかし、SAPは後にこれを無制限のファイルアップロード脆弱性として確認し、攻撃者が許可なしにシステムに悪意のあるファイルを直接アップロードできることを認めました」と研究者たちは4月25日の更新で書いています。
ReliaQuestは、未知の脅威アクターがNetWeaverインスタンスを標的にした悪意のあるWebシェル活動を最初に検出しました。5月2日、研究者たちは脅威活動を積極的に監視し、脆弱性に関連する妥協の指標を収集していると述べる別の更新を投稿しました。
関連記事:RSAC 2025: AIがどこにでも、信頼はどこにもない
「ReliaQuestがCVE-2025-31324の調査を続ける中で、これらのウェブシェルはhelper.jspやcache.jspに限定されていないことがわかりました。NetWeaverディレクトリ内には、rrx.jspやdyceorp.jspのようなランダムに名前付けされたJSPファイルも見つかります」と研究者たちは書いています。
5月8日、Forescout Vedere Labsの研究者たちは、進行中の攻撃の一部を、彼らがChaya_004として追跡している中国の脅威アクターに関連付けました。この脅威アクターは、「中国のクラウドプロバイダーに頻繁に展開されるSupershellバックドアをホストするサーバーネットワークや、中国製のペンテストツールを含む悪意のあるインフラストラクチャを使用しています。」
さらに、EclecticIQは報告しました、他の3つの中国のAPT — UNC5221、UNC5174、およびCL-STA-0048 — もNetWeaverの脆弱性を標的にしています。
5月14日、ReliaQuestは最近の更新を発表し、最近の脅威レポートが攻撃チェーンを中国に関連する脅威アクターに結びつけたことを指摘しました。
「しかし、さらなる分析により、ロシアのランサムウェアグループ『BianLian』および『RansomEXX』ランサムウェアファミリー(Microsoftによって「Storm-2460」として追跡されている)の関与を示唆する証拠が見つかりました」と研究者たちは付け加えました。「これらの発見は、複数の脅威グループがこの脆弱性を悪用することに広範な関心を示していることを明らかにしています。」
関連記事:議会はサイバー脅威に取り組むべきであり、競争ではない
ReliaQuestは、BianLianが少なくとも1つの事件に関与しており、「PipeMagic」というモジュール式バックドアがRansomEXXに関連付けられ、MSBuildの悪用を通じて配信された別の事件を観察しました。
「BianLianやRansomEXXのようなグループの関与は、金融利益のために注目度の高い脆弱性を武器化することへの関心の高まりを反映しています」と研究者たちは警告しました。「これらの展開は、組織が直ちにパッチを適用し、疑わしい活動を監視し、防御を強化する緊急の必要性を強調しています。」
大量攻撃に対する緩和策
ReliaQuestは、CVE-2025-31324が複数の脅威アクターにとって「高価値のターゲット」となっていることを強調しました。
今週、NetWeaver Visual Composerにおける2つ目のゼロデイ脆弱性が出現し、5月12日に公開され、修正されたことが事態をさらに複雑にしました。この重大な脆弱性はCVE-2025-42999として追跡され、CVSSスコアは9.1で、Onapsis Research LabsによるCVE-2025-31324への攻撃の調査を通じて発見されました。
これらの脅威に対抗するため、CVE-2025-31324のパッチが5月13日にリリースされ、他の脆弱性に対する15のパッチとともに、ゼロデイとして攻撃に連鎖された2つ目のNetWeaver脆弱性も含まれていました。
関連記事:Windowsゼロデイバグがブラウザ主導のRCEで悪用される
脅威アクターによる悪用を防ぐために、SAPの管理者はNetWeaverサーバーを直ちにパッチすることが推奨されます。パッチが不可能な場合は、Visual Composerサービスを無効にするべきです。また、メタデータアップローダーサービスへのアクセスを制限し、サーバー上の疑わしいまたは不正な活動を監視することもできます。
すでに妥協されている可能性があると疑う組織に対して、ReliaQuestは疑わしいJSP Webシェルを検出するメカニズムをリリースしました。
CVE-2025-31324が未修正または未緩和のまま放置されると、サービスの中断、情報漏洩、資格情報の傍受、横方向の移動、および規制の不遵守につながる可能性があります。
翻訳元: https://www.darkreading.com/vulnerabilities-threats/critical-sap-netweaver-vuln-cyberattacks