SAPは2025年12月のセキュリティアップデートを公開し、Solution Manager、Commerce Cloud、NetWeaver、jConnect向けの複数のクリティカルな修正を含めました。
3つの欠陥はCVSSスコアが9.0を超えており、攻撃者が任意のコードを実行したり、基幹業務システムを妨害したりする可能性があります。
脆弱性の1つであるCVE-2025-42880は「…認証済みの攻撃者が、リモート対応の関数モジュールを呼び出す際に悪意あるコードを挿入できる」と、SAPは勧告の中で述べています。
SAPの最新セキュリティアップデートのポイント
このリリースには14件の新しいセキュリティノートと複数の高優先度アップデートが含まれており、ID管理、サプライチェーン業務、分析、クラウドベースのコマースでSAPに依存している組織に影響します。
最も深刻な脆弱性は、Solution Manager、Commerce Cloud、jConnect SDKにまたがっており、パッチが適用されないまま放置された場合、システムの完全な侵害、リモートコード実行、データ破損につながる可能性があります。
主なSAPの脆弱性
SAPの2025年12月パッチデーでは、相互接続されたSAPランドスケープ全体に重大なリスクをもたらす、クリティカル、高深刻度、中深刻度の幅広い脆弱性に対処しています。
最も深刻な問題(CVE-2025-42880)は、SAP Solution Manager ST 720における不適切な入力処理が原因の、クリティカルなコードインジェクションの欠陥です。
最小限の権限しか持たない攻撃者でも、この弱点を悪用して任意のコードを注入・実行し、権限を昇格させ、依存するSAPシステム間を横移動できる可能性があります。
別の脆弱性であるCVE-2025-55754は、特定のHY_COMおよびCOM_CLOUDバージョンを実行しているSAP Commerce Cloud環境に影響します。
Apache Tomcatの脆弱性に起因するこの欠陥により、リモートコード実行の可能性や、リアルタイム取引に大きく依存するオンラインコマース環境全体での業務障害のリスクが生じます。
3つ目のクリティカルな問題であるCVE-2025-42928は、ASE 16.0.4および16.1向けのSAP jConnect SDKに影響し、安全でないデシリアライゼーションにより、高い権限を持つ攻撃者がシリアライズされたオブジェクトを操作し、内部データ構造を破損させ、アプリケーションの完全性を損なう可能性があります。
これらのクリティカルな脆弱性は総じて、SAPコンポーネント間の緊密な統合が、単一のエクスプロイトの影響をどれほど増幅し得るかを示しており、攻撃者が複数の弱点を連鎖させることで、より広範かつ破壊的な侵害を引き起こせることを浮き彫りにしています。
クリティカルな問題に加え、SAPはパッチ未適用のまま放置されると攻撃面を大きく拡大させる複数の高深刻度の欠陥も解消しました。
CVE-2025-42878は、Web DispatcherおよびICMにおける誤った設定を通じて、機密データが露出する可能性があります。
CVE-2025-42874は、SAP NetWeaver Xcelsiusに影響するサービス拒否(DoS)の脆弱性です。
CVE-2025-48976は、SAP BusinessObjects EnterpriseにDoSリスクをもたらします。
CVE-2025-42877は、Web Dispatcher、ICM、Content Server内でのメモリ破損に関わる問題です。
CVE-2025-42876は、S/4HANA Private Cloudにおける認可チェックの欠如が原因です。
このセキュリティ情報には、認証バイパス、XSSの欠陥、SSRF、情報漏えい、その他のDoSリスクに対処する中深刻度のアップデートも含まれています。
これらの問題は、SAP NetWeaver、ABAPアプリケーションサーバー、SAPUI5、Enterprise Search、BusinessObjects BIプラットフォームなどのコンポーネントに影響します。
SAP悪用リスクを低減する方法
以下の推奨事項は、これらの脆弱性が悪用される可能性を低減するのに役立ちます。
- すべてのクリティカルなSAPパッチを可能な限り早急に適用する。
- 本番環境以外でアップデートをテストし、本番環境へ展開する前に厳格な変更管理を徹底する。
- 管理インターフェースを制限してアクセスを強化し、MFAを適用し、認可プロファイルを厳格化し、未使用のロールを削除する。
- SAP環境をセグメント化し、厳格なファイアウォールルールを適用するとともに、WAFやIPSなどの仮想パッチツールを使用してエクスプロイト試行をブロックする。
- 拡張SAPログを有効化して監視を強化し、テレメトリをSIEMに統合し、異常なプロセスや設定変更の動きを監視する。
- OSコンポーネントを更新し、カーネルやデータベースのバージョンを検証し、コネクタやカスタムコードを監査することで、基盤インフラおよびサードパーティ連携を保護する。
- 定期的かつ改ざん不可能なバックアップ、認証情報のローテーション、SAP特有のインシデント対応プレイブックの整備を通じて、サイバー・レジリエンスを強化する。
多層防御(ディフェンス・イン・デプス)のアプローチは、長期的なレジリエンスの構築に役立ちます。
SAPシステムがクラウドサービス、IDプロバイダー、自動化されたサプライチェーンプラットフォームとより深く統合されるにつれ、これら相互接続されたコンポーネントのいずれかに存在する脆弱性が、組織全体に波及効果をもたらす可能性があります。
こうした相互依存性の高まりは、暗黙の信頼を制限するセキュリティコントロールの必要性を示しており、ゼロトラストの原則と合致しています。
翻訳元: https://www.esecurityplanet.com/threats/sap-issues-critical-patches-for-major-code-execution-flaws/
