2025年9月5日Ravie Lakshmanan脆弱性 / エンタープライズセキュリティ
エンタープライズリソースプランニング(ERP)ソフトウェアであるSAP S/4HANAに影響を与える重大なセキュリティ脆弱性が、実際に悪用されていることが確認されました。
このコマンドインジェクションの脆弱性は、CVE-2025-42957(CVSSスコア:9.9)として追跡されており、SAPは先月の月例アップデートでこの問題を修正しました。
NISTのNational Vulnerability Database(NVD)によると、「SAP S/4HANAは、ユーザー権限を持つ攻撃者がRFC経由で公開されているファンクションモジュールの脆弱性を悪用できる」と説明されています。「この脆弱性により、重要な認可チェックを回避して任意のABAPコードをシステムに注入することが可能となります。」
この欠陥を悪用されると、SAP環境のシステム全体が侵害され、システムの機密性、完全性、可用性が損なわれる可能性があります。つまり、攻撃者がSAPデータベースを改ざんしたり、SAP_ALL権限を持つスーパーユーザーアカウントを作成したり、パスワードハッシュをダウンロードしたり、ビジネスプロセスを変更したりできるようになります。
SecurityBridge Threat Research Labsは、木曜日に発表した警告の中で、この脆弱性の積極的な悪用が確認されており、オンプレミス版とプライベートクラウド版の両方に影響があると述べています。
「悪用には低権限ユーザーへのアクセスだけで十分にSAPシステムを完全に侵害できます」と同社は述べています。「最小限の労力でシステム全体が侵害され、成功すれば詐欺、データ窃取、スパイ行為、ランサムウェアのインストールなどにつながる可能性があります。」
また、現時点で広範な悪用は検出されていないものの、脅威アクターはこの脆弱性を利用する知識を持っており、パッチをリバースエンジニアリングしてエクスプロイトを作成するのは「比較的容易」であるとも指摘しています。
そのため、組織はできるだけ早くパッチを適用し、不審なRFCコールや新しい管理者ユーザーのログを監視し、適切なセグメンテーションとバックアップを確保することが推奨されています。
「RFCの利用を制限するためにSAP UCONの導入を検討し、認可オブジェクトS_DMISのアクティビティ02へのアクセスを見直し、制限してください」とも述べています。
翻訳元: https://thehackernews.com/2025/09/sap-s4hana-critical-vulnerability-cve.html