脅威アクターが2つの重大度の高い脆弱性を連鎖させてコード実行を可能にする新たな実用的エクスプロイトを公開したことで、数十のSAP NetWeaverインスタンスが侵害の危険にさらされています。
これらの脆弱性は、CVE-2025-31324(CVSSスコア10)およびCVE-2025-42999(CVSSスコア9.1)として追跡されており、それぞれ認可チェックの欠如と安全でないデシリアライズの問題と説明されています。これらは、それぞれ4月と5月に公開されたセキュリティノートで修正されました。
両方のセキュリティ欠陥は、修正が提供される前に実際に悪用されており、ウェブシェルの設置やリモートコマンド実行に利用されていました。BianLianやRansomEXXといったランサムウェアグループ、および中国のAPTがこれらを標的にしていることが確認されています。
金曜日、脅威インテリジェンスおよびリサーチプロジェクトのVx-Undergroundは、Scattered Spiderサイバー犯罪グループに関連していると思われる人物が、Telegram上でSAP NetWeaverインスタンスを標的とした新たな(ゼロデイとされる)エクスプロイトを公開したと警告しました。
このエクスプロイトを分析した結果、企業向けアプリケーションセキュリティ企業のOnapsisは、実際には既知の脆弱性CVE-2025-31324およびCVE-2025-42999を連鎖させて、管理者権限で任意のシステムコマンドを実行するために構築されたものであると結論付けました。
「本質的に、攻撃者はまず認証が不要な脆弱性(CVE-2025-31324)を利用して認証なしで重要な機能にアクセスし、悪意のあるペイロードをサーバーに送り込みます。その後、デシリアライズの脆弱性(CVE-2025-42999)を悪用して、悪意のあるペイロードをデシリアライズし、SAPシステムの権限でそのコードを実行します」とOnapsisは説明しています。
このセキュリティ企業は、このエクスプロイトに含まれるデシリアライズガジェットが、SAPが7月に修正したデシリアライズの脆弱性の悪用など、他の文脈でも再利用される可能性があると警告しています。
「これはSAPアプリケーションの他の領域においても新たな攻撃経路を開く可能性があります。攻撃者にとって強力なツールであり、その公開は重大な出来事です。組織は、これらのSAP脆弱性が自社環境でも迅速に修正されていることを確認すべきです」とOnapsisは指摘しています。
広告。スクロールして続きをお読みください。
このエクスプロイトは新たなSAP脆弱性を標的としているわけではありませんが、CVE-2025-31324およびCVE-2025-42999に対してパッチが適用されていないNetWeaverインスタンスは、新たな攻撃の波にさらされています。
The Shadowserver Foundationのデータによると、8月18日時点で50台以上のNetWeaverサーバーがCVE-2025-31324に対して依然として脆弱な状態にありました。この数は、4月末に観測された400インスタンスと比べて大幅に減少しています。
関連記事: SAP、重大なS/4HANA脆弱性にパッチを適用
関連記事: 数百のN-able N-centralインスタンスが悪用された脆弱性の影響を受ける
翻訳元: https://www.securityweek.com/new-exploit-poses-threat-to-sap-netweaver-instances/