脅威アクターは、おそらくSAP NetWeaverの新たな脆弱性を悪用して、JSP Webシェルをアップロードし、不正なファイルアップロードやコード実行を容易にすることを目的としています。
「この悪用は、以前に公開された脆弱性であるCVE-2017-9844や未報告のリモートファイルインクルージョン(RFI)問題に関連している可能性があります」と、ReliaQuestは今週発表したレポートで述べています。
サイバーセキュリティ企業は、影響を受けたシステムのいくつかがすでに最新のパッチを適用していたことから、ゼロデイの可能性があると述べています。
この欠陥は、NetWeaver環境の「/developmentserver/metadatauploader」エンドポイントに根ざしていると評価されており、未知の脅威アクターが「servlet_jsp/irj/root/」パスに悪意のあるJSPベースのWebシェルをアップロードし、持続的なリモートアクセスを可能にし、追加のペイロードを配信することを可能にします。
言い換えれば、軽量なJSP Webシェルは、不正なファイルのアップロードを構成し、感染したホストに対する根深い制御を可能にし、リモートコードを実行し、機密データを吸い上げます。
一部のインシデントでは、Brute Ratel C4ポストエクスプロイトフレームワークや、Heaven’s Gateと呼ばれる有名な技術を使用してエンドポイント保護を回避する手法が観察されています。
少なくとも1件のケースでは、脅威アクターは初期アクセスの成功からフォローオンの悪用までに数日を要しており、攻撃者が初期アクセスブローカー(IAB)であり、地下フォーラムで他の脅威グループにアクセスを取得して販売している可能性があることを示唆しています。
「我々の調査は、敵対者が既知のエクスプロイトを利用し、進化する技術を組み合わせてその影響を最大化しようとしていることを示唆する憂慮すべきパターンを明らかにしました」とReliaQuestは述べています。
「SAPソリューションはしばしば政府機関や企業で使用されており、攻撃者にとって高価値のターゲットとなっています。SAPソリューションはしばしばオンプレミスで展開されるため、これらのシステムのセキュリティ対策はユーザーに委ねられています。更新やパッチが迅速に適用されない場合、これらのシステムは侵害のリスクにさらされる可能性があります。」
偶然にも、SAPは攻撃者が任意のファイルをアップロードするために悪用できる最大の深刻度のセキュリティ欠陥(CVE-2025-31324、CVSSスコア:10.0)に対処するための更新をリリースしました。
「SAP NetWeaver Visual Composer Metadata Uploaderは適切な認証で保護されておらず、認証されていないエージェントがホストシステムに深刻な損害を与える可能性のある悪意のある実行可能バイナリをアップロードすることを許可しています」と、この脆弱性のアドバイザリには記載されています。
CVE-2025-31324は、以前に報告されていないセキュリティ欠陥を指している可能性が高く、前者もメタデータアップローダーコンポーネントに影響を与えています。
この開示は、米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)が、攻撃者が機密SAP構成ファイルを取得することを可能にする別の高深刻度のNetWeaverの欠陥(CVE-2017-12637)のアクティブな悪用を警告してから1か月余り後に行われました。
更新#
ReliaQuestは、上記の悪意のある活動が、現在CVE-2025-31324として追跡されている新しいセキュリティ脆弱性を利用していることをThe Hacker Newsに確認しました。
「この脆弱性は、2025年4月22日に公開された調査中に特定され、当初はリモートファイルインクルージョン(RFI)問題であると疑われていました」と同社は述べています。「しかし、SAPは後にこれを無制限のファイルアップロード脆弱性として確認し、攻撃者が認証なしにシステムに悪意のあるファイルを直接アップロードすることを可能にしました。」
別のレポートでは、SAPセキュリティ企業Onapsisは、この脆弱性がHTTP/HTTPSを介して悪用可能であり、攻撃者が認証を必要とせずに「/developmentserver/metadatauploader」エンドポイントをターゲットにした慎重に作成されたPOSTリクエストを送信することを可能にすると述べています。
「悪用は、脆弱なコンポーネントへのPOSTリクエストを介して行われます」とOnapsisのCTO JP Perez-Etchegoyenは述べています。「悪用が成功すると、脅威アクターは任意のファイルをアップロードすることができます。脅威アクターは、脆弱なシステムにWebシェルをアップロードしていることが観察されています。」
Webシェルは、脅威アクターにシステムコンテキストで任意のコマンドを実行する能力を与え、<sid>admオペレーティングシステムユーザーの特権で、すべてのSAPリソースに完全にアクセスすることを可能にします。攻撃は特定の脅威グループに帰属していません。
「<sid>admアクセスを持つことで、攻撃者はSAPアプリケーションサーバーで実行されているプロセスのユーザーと特権を使用して、基盤となるSAPオペレーティングシステムに不正アクセスし、SAPシステムデータベースを含む任意のSAPリソースに制限なく完全にアクセスできることを意味し、いくつかのアクションを実行することを許可します」と同社は付け加えました。
ユーザーは、影響を受けているかどうかを判断するために、以下の妥協の指標(IoC)の存在を確認することが推奨されます –
- C:\usr\sap\<SID>\<InstanceID>\j2ee\cluster\apps\sap.com\irj\servlet_jsp\irj\root
- C:\usr\sap\<SID>\<InstanceID>\j2ee\cluster\apps\sap.com\irj\servlet_jsp\irj\work
- C:\usr\sap\<SID>\<InstanceID>\j2ee\cluster\apps\sap.com\irj\servlet_jsp\irj\work\sync
ProjectDiscoveryはまた、ユーザーが脆弱であるかどうかを確認し、脅威アクターによって使用されるJSP Webシェルバックドアによってインスタンスが侵害されているかどうかを判断するために、CVE-2025-31324を検出するための2つのnucleiテンプレートをリリースしました。
悪用は3月下旬に遡る#
Rapid7は、新しい分析で、少なくとも2025年3月27日まで遡る複数の顧客環境での悪用を観察したと述べました。ほとんどの攻撃は製造会社をターゲットにして、「j2ee/cluster/apps/sap.com/irj/servlet_jsp/irj/root/」ディレクトリにWebシェルをドロップすることを目的としていました。
Shadowserver Foundationによると、2025年4月27日時点で427台の公開サーバーがあります。ほとんどの脆弱なシステムは米国(132台)、次いでインド(45台)、オーストラリア(38台)、中国(26台)、ドイツ(29台)、ブラジル(12台)、オランダ(11台)、フランス(10台)にあります。
Censysによって収集されたデータは、インターネットに公開されているSAP NetWeaverサーバーが約7,562台あり、主に米国、インド、中国に集中していることを示しています。ただし、これらの公開されているインスタンスのすべてが必ずしも脆弱であるわけではなく、メタデータアップローダーコンポーネントが有効であることが必要です。
Onapsisはまた、CVE-2025-31324に対して潜在的に脆弱なSAP NetWeaver Javaシステムを特定し、特定のIoCアーティファクトの存在を検出するためのオープンソーススキャナーを公開しました。
(このストーリーは、公開後に新しいゼロデイ欠陥の悪用を確認し、悪意のある活動の追加の詳細を含めるために更新されました。)