(画像クレジット:SAP)
- SAPは、認証なしでOSコマンド実行が可能となる重大な脆弱性CVE-2025-42944にパッチを適用
- さらに2つの深刻な脆弱性がSAP Print ServiceおよびSupplier Relationship Managementモジュールに影響
- 未パッチのシステムは依然として危険にさらされており、n-day脆弱性はパッチ適用の遅れにより広く悪用されている
ソフトウェア大手SAPは、攻撃者に侵害されたエンドポイント上で任意のコマンド実行を可能にする最大深刻度の脆弱性に対し、追加のセキュリティ強化をリリースしました。
今週初め、同社は新たなセキュリティアドバイザリを公開し、合計17件の脆弱性(13件の修正と4件の更新)に対する修正内容を詳細に説明しました。その中には、10/10の「SAP NetWeaver AS Javaにおける安全でないデシリアライズ」脆弱性も含まれています。CVE-2025-42944として追跡されているこの脆弱性は、攻撃者がRMI-P4モジュールを通じて悪意のあるペイロードをオープンポートに送信することでシステムを悪用できるものでした。
「このような信頼されていないJavaオブジェクトのデシリアライズは、任意のOSコマンド実行につながる可能性があり、アプリケーションの機密性、完全性、可用性に大きな影響を及ぼします」とNVDは説明しています。SAPはこれを2025年9月のセキュリティパッチデーの一環として修正しました。
n-dayの悪用
このアドバイザリでは、さらに2つの重大な脆弱性、SAP Print Serviceの「ディレクトリトラバーサル脆弱性」とSAP Supplier Relationship Managementの「無制限ファイルアップロード脆弱性」についても詳細に説明しています。
前者はCVE-2025-42937として追跡され、深刻度スコアは9.8/10、後者はCVE-2025-42910として追跡され、深刻度スコアは9.0/10です。
これらのバグが実際に攻撃者によって悪用された事例は確認されていませんが、SAPはユーザーに対し、リスクを最小限に抑えるため、できるだけ早くパッチや緩和策を適用するよう強く求めています。
ゼロデイ脆弱性のエクスプロイトはn-day脆弱性と比べて成功率が高いと考えられていますが、n-day脆弱性ははるかに頻繁に悪用されています。これは、多くの組織がタイムリーにパッチを適用できず、インターネットに接続されたままの脆弱なインスタンスが何ヶ月も放置されているためです。
これに加えて、広く入手可能な概念実証(PoC)エクスプロイトの存在により、n-day脆弱性はしばしば簡単に悪用できる「低いハードル」となっています。
SAPは世界最大のERPベンダーであり、フォーブスグローバル2000リストの90%以上の企業で製品が利用されています。そのため、サイバー犯罪者はパッチが適用されていないエンドポイントをスキャンし、世界で最も重要なブランドのITネットワークに侵入する手段を探す可能性が高いです。
