XORがSAP GUIの欠陥を示す

出典: Tricky_Shark via Shutterstock

SAPは、グラフィカルユーザーインターフェース（SAP GUI）の入力履歴機能におけるいくつかの脆弱性を修正しました。これにより、攻撃者がインターフェースを実行しているユーザーマシンにローカルに保存されている機密データにアクセスする可能性があります。

攻撃者がこの2つの欠陥を通じてアクセスできるデータは、主にユーザーの職務に依存すると、問題を発見しSAPに報告したPathlockの研究者は述べています（SAPは1月にパッチを発行しました）。しかし、ユーザーID、社会保障番号、クレジットカード番号、銀行口座番号、その他の機密データが含まれる可能性があります。

弱く保護されたコンテンツ

SAPはこの脆弱性をCVE-2025-0056およびCVE-2025-0055（どちらもCVSS 6.0）として追跡しています。今日発行された欠陥の公式説明では、管理者レベルの権限を持つ攻撃者や被害者のユーザーディレクトリにアクセスできる攻撃者が、そこに含まれるデータを読み取ることができる問題として説明されています。

「トランザクションで提供されるユーザー入力に応じて、開示されたデータは非重要なデータから非常に機密性の高いデータまで範囲が広がり、アプリケーションの機密性に大きな影響を与える可能性があります」とSAPは開示で警告しています。

SAPのGUI入力履歴機能は基本的に、ユーザーがSAPシステムのフィールドに入力する可能性のあるコードや検索語などの特定のデータを保存します。この使いやすさを向上させる機能の目的は、ユーザーが頻繁に使用するコンテンツを繰り返し入力する必要を減らすことです。入力履歴機能はパスワードを保存しませんが、攻撃者が将来の攻撃で武器化できる他の個人を特定できる情報（PII）を保存します。

Pathlockによれば、発見されたSAP GUI入力履歴の脆弱性は、Windows版とJava版の両方の技術に影響を与えます。ソフトウェアのパッチバージョンは、SAP GUI for Windows 8.00 Patch Level 9+およびSAP GUI for Java 7.80 PL9+または8.10です。 

CVE-2025-0055はWindows版の脆弱性の識別子です。この欠陥は、GUI履歴に保存されたユーザー入力が簡単に破られるXORベースの暗号化方式で保存されているという事実に関連しています。Pathlockによれば、XORに関するいくつかの既知の問題を指摘しています。例えば、SAPのユーザー入力履歴のXOR暗号化は、すべてのユーザー入力に対して同じ固定キーを使用し、繰り返しパターンで適用されます。したがって、攻撃者が1つの保存された入力を知っていれば、キーを逆にエンジニアリングして、そのシステムの他のすべての保存データを解除することができます。

Java版のSAP GUIのセキュリティベンダーの調査では、さらに深刻な状況が明らかになりました。入力履歴のすべてのエントリが暗号化されず、Javaシリアライズオブジェクトとして保存されていることが判明しました（CVE-2025-0056）。脆弱なSAP GUIを実行しているコンピュータにアクセスできる人は、履歴ファイルからすべての機密データを抽出することができます。

「このデータは、攻撃者にアクセスをエスカレートしたり、偵察を行ったり、認可ワークフローを回避したりするために武器化できる貴重なコンテキストと構造化情報を提供する可能性があります」とPathlockのSAPセキュリティアナリスト、ジョナサン・ストロスは分析で書いています。「攻撃者はこれをスピアフィッシングやさらなるエスカレーションシナリオに利用したり、単に悪意のある目的でこの情報を悪用したりすることができます。」

SAPサイバー攻撃チェーン

これらを悪用するには、攻撃者が脆弱なSAP GUIインスタンスを実行しているシステムに直接アクセスするか、ネットワークアクセスが必要です。しかし、一度侵入されると、入力データが弱く暗号化されているか、まったく暗号化されていないため、脅威アクターは比較的簡単にデータを盗むことができます。潜在的な初期アクセスベクトルには、脅威アクターが武器化されたUSBデバイスをターゲットシステムに接続して自動的にユーザーの代わりにアクションを実行する、いわゆるヒューマンインターフェースデバイス（HID）注入攻撃が含まれます。フィッシングも別の方法です。

Pathlockが2つの脆弱性を分析した結果、同社は関連する3番目の欠陥CVE-2025-0059を発見しました。SAP NetWeaver Application Server ABAPには、他の2つの欠陥の根本原因である同じ構造的な弱点があります。しかし、CVE-2025-0055およびCVE-2025-0056とは異なり、SAPはCVE-2025-0059のパッチを持っていないと研究者は述べています。

Dark Readingへのコメントで、ストロスは攻撃者が物理的アクセスやフィッシング、マルウェア、ルートキット、HIDベースの攻撃を通じて脆弱なシステムにアクセスするための複数のオプションを持っていると述べています。バグをターゲットにした攻撃は、個々のシステムへのアクセスのみを可能にするため、ある程度範囲が制限されます。

「しかし、デバイスは共有される可能性があり、1人のユーザーの履歴ファイルは他の人がアクセスできるかもしれません」とストロスは指摘します。「重要なのは、各Windowsユーザーごとに別の履歴ファイルが作成されることです。」

彼は、組織がまず第一にSAPの緩和策のアドバイスに従うことを推奨しました。「SAP GUI for HTMLについては、修正は利用できず、SAP自体がその場合に入力履歴機能を無効にすることを推奨しています」とストロスは指摘します。「しかし、すべてのGUIバージョンで入力履歴機能を無効にし、既存の履歴ファイルを削除するのが最善です。」Pathlockはまた、組織が定期的な監査を行い、レガシーおよび最新のシステム環境で潜在的な問題を明らかにすることを推奨しています。

Qualysのセキュリティマネージャー、Mayuresh Daniは、CVE-2025-0055およびCVE-2025-0056の両方を、安全でないローカルデータストレージの実践に関連する組織レベルのリスクを提示すると説明しました。Daniは、攻撃者が両方の脆弱性を連鎖させてXOR暗号化キーを逆エンジニアリングし、それを使用してユーザーの履歴ファイルにアクセスする可能性があると警告しました。

「この抽出されたデータが攻撃者に偵察活動のための十分な火薬を提供するという事実を軽視することなく、脅威アクターはこれらの脆弱性の悪用から組織の構造、使用パターン、システム構成を理解することができます」と彼は書いています。攻撃者は情報を武器化して、ターゲットユーザーのシステムを効果的に侵害し、将来の攻撃を実行することができます。

Sectigoのシニアフェロー、Jason Sorokoは、既存の履歴ファイルを削除し、そこに保存されている機密データをすべて削除するというPathlockのアドバイスに賛同しました。「SAPは2025年1月により強力な暗号化のアップデートを出荷しました」とSorokoは声明で述べています。「しかし、最も安全な方法は、弱点を完全に排除することです。すべてのクライアントで入力履歴の保存を無効にし、既存のファイルを削除してください。」