警告：SAP S/4HANAの重大な脆弱性に対する攻撃者向けエクスプロイトが公開

8月11日の重要なパッチをまだインストールしていないSAP S/4HANA管理者は、危険に直面する可能性があります。コードインジェクション脆弱性のエクスプロイトがすでに実際に悪用されています。

この脆弱性、CVE-2025-42957（CVSSスコア9.9）は、権限の低いユーザーでもSAPのABAPプログラミング言語を通じてコードインジェクションによりSAPシステムを完全に制御できるようにします。すべてのS/4HANAリリース（プライベートクラウド、オンプレミスの両方）が影響を受けます。木曜日にこのエクスプロイトを発見したと報告したSecurityBridgeによると、攻撃が成功するとオペレーティングシステムへのアクセスやSAPシステム内のすべてのデータへの完全なアクセスが可能になります。

まだパッチを適用していない場合は、直ちに適用してください。

「大規模な悪用はまだ報告されていませんが」と、ドイツ拠点のSecurityBridgeは木曜日のブログで述べ、実際にこの脆弱性が悪用されていることを確認したとしています。「つまり、攻撃者はすでにこの脆弱性の利用方法を知っており、パッチ未適用のSAPシステムが危険にさらされています」と研究者らは警告しています。

SecurityBridgeの警告によると、SAPのABAPプログラミング言語ではパッチをリバースエンジニアリングしてエクスプロイトを作成するのが比較的容易であり、ABAPコードは誰でも閲覧可能だからです。

すでにどれだけの管理者がパッチを適用したかは不明です。「この脆弱性は9.9と評価されており、非常に高いです」と、定期的にSAPの脆弱性を報告しているセキュリティベンダーOnapsisのCTO、Juan Pablo Perez-Etchegoyen氏はインタビューで語りました。「この種の脆弱性は組織の注目を集めるものです。したがって、多くの組織がパッチデーやその直後にパッチを適用したと考えています。」SAPのパッチ適用には一部のITネットワークでダウンタイムが必要な場合もありますが、「現時点で大多数の組織がこれらのパッチを実装しているはずだ」とも述べています。

エクスプロイトは誤ったビジネス判断につながる可能性

S/4HANAはSAPのインメモリデータベース上で動作するエンタープライズリソースプランニングシステムであるため、悪用されると壊滅的な被害をもたらす可能性があります。CSOやSAP S/4HANA管理者がそのリスクを理解していない場合に備え、SecurityBridgeはこの脆弱性を悪用した攻撃者ができることの一例を挙げています：

• SAPデータベース内のデータを直接削除・挿入する;
• SAP_ALL権限を持つSAPユーザーを作成する;  
• パスワードハッシュをダウンロードする;  
• ビジネスプロセスを変更する。

「歴史的に、これらの複雑なシステムにパッチを適用するのは困難であり、多くの組織では本番環境にパッチを展開する前に慎重（かつ時間をかけた）なテストが必要です」と、SANS Instituteの研究学部長Johannes Ullrich氏はCSOに語っています。

「SAPのようなERPシステムは、深刻でありながら過小評価されがちな攻撃対象です。S/4HANAはSAP ERPシステムを支えるインメモリデータベースです。これが侵害されると、攻撃者はSAPシステムに保存されているデータにアクセスできるだけでなく、時にはさらに危険なことに、データを改ざんして誤ったビジネス判断を引き起こす可能性もあります。こうしたデータ改ざん攻撃はよりステルス性が高く、検知や対策が非常に困難です。」

「この脆弱性は、攻撃者がこれらのシステムを攻撃するための重要なギャップを埋める可能性があります」と彼は付け加えました。「攻撃者は何らかの認証情報を必要としますが、それは他の攻撃で入手した低レベルの認証情報でも構いません。」

プラットフォームの複雑さが潜在的な脆弱性を生む

SAP S/4HANAは脆弱性とは無縁ではありません。例えば4月には、S/4HANAのLearning Solutionモジュールでクロスサイトリクエストフォージェリ脆弱性(CVE-2025-31328)が発見されました。2月には、S/4HANAのExtended Application (XS) Services Advanced Modelでオープンリダイレクト脆弱性（CVE-2025-24868）が見つかり、認証されていない攻撃者が悪意のあるリンクを作成して、被害者を悪意のあるウェブサイトにリダイレクトできることが判明しました。

Eric Mehler氏（S/4HANAの一般的なセキュリティ脆弱性についてブログを書くドイツ在住のCISO）は、プラットフォームの複雑さが潜在的なセキュリティ脆弱性を生み出す可能性があり、その多くは設定ミスや見落としによるものだと記しています。これには、デフォルトパスワードのままのSAPアカウントの保持、過剰なユーザー権限、暗号化されていないSAPトラフィックやTLS 1.0のような古いプロトコルの使用、不十分なトラフィック監視とログ記録、そして安全でないABAPプログラミング慣行などが含まれます。

「攻撃者はSAPアプリケーションを標的に非常に活発に活動しています」とOnapsisのPerez-Etchegoyen氏は述べています。先月、SAP NetWeaverのゼロデイ脆弱性（CVE-23025-31324、認証欠如の脆弱性）に対する武器化されたエクスプロイトがギャングによって公開されたとされています。「したがって、組織がSAPセキュリティをITセキュリティの一環として統合し、できるだけ早くパッチを適用することがこれまで以上に重要です。」