2025年8月19日Ravie Lakshmanan脆弱性 / サイバー諜報
SAP NetWeaverの2つの重大な(現在は修正済み)セキュリティ脆弱性を組み合わせた新たなエクスプロイトが野放しになっており、組織はシステム侵害やデータ窃取のリスクにさらされています。
問題となっているエクスプロイトは、CVE-2025-31324とCVE-2025-42999を連鎖させて認証を回避し、リモートコード実行を実現すると、SAPセキュリティ企業のOnapsisが発表しました。
- CVE-2025-31324(CVSSスコア: 10.0)- SAP NetWeaverのVisual Composer開発サーバにおける認可チェックの欠如
- CVE-2025-42999(CVSSスコア: 9.1)- SAP NetWeaverのVisual Composer開発サーバにおける安全でないデシリアライズ
これらの脆弱性は2025年4月および5月にSAPによって対策されましたが、少なくとも3月以降、脅威アクターによってゼロデイとして悪用されていました。
Qilin、BianLian、RansomExxを含む複数のランサムウェアおよびデータ恐喝グループがこれらの脆弱性を武器化していることが観測されており、さらに複数の中国系諜報グループも重要インフラネットワークを標的とした攻撃でこれらを利用しています。
このエクスプロイトの存在は、vx-undergroundによって先週初めて報告されました。vx-undergroundによると、これはScattered SpiderとShinyHuntersによって結成された新たな流動的な同盟「Scattered Lapsus$ Hunters」によって公開されたとのことです。
「これらの脆弱性により、認証されていない攻撃者が対象のSAPシステム上で任意のコマンドを実行でき、任意のファイルのアップロードも可能です」とOnapsisは述べています。「これによりリモートコード実行(RCE)が可能となり、影響を受けたシステムおよびSAPの業務データやプロセスを完全に乗っ取られる危険があります。」
同社によれば、このエクスプロイトはウェブシェルの展開だけでなく、追加のアーティファクトを侵害システムにドロップすることなく、OSコマンドを直接実行する「Living-off-the-Land(LotL)」攻撃にも利用可能です。これらのコマンドはSAP管理者権限で実行されるため、攻撃者はSAPデータやシステムリソースへの不正アクセスが可能となります。
具体的には、攻撃チェーンはまずCVE-2025-31324を利用して認証を回避し、悪意のあるペイロードをサーバにアップロードします。続いてデシリアライズ脆弱性(CVE-2025-42999)が悪用され、ペイロードが展開されて昇格権限で実行されます。
「このデシリアライズガジェットの公開は特に懸念されます。なぜなら、他のコンテキスト、たとえばSAPが7月に修正したデシリアライズ脆弱性の悪用にも再利用できるためです」とOnapsisは警告しています。
これには以下が含まれます:
- CVE-2025-30012(CVSSスコア: 10.0)
- CVE-2025-42963(CVSSスコア: 9.1)
- CVE-2025-42964(CVSSスコア: 9.1)
- CVE-2025-42966(CVSSスコア: 9.1)
- CVE-2025-42980(CVSSスコア: 9.1)
同社は、攻撃者がSAPアプリケーションに関する広範な知識を持っていると述べ、SAPユーザーに対してできるだけ早く最新の修正を適用し、インターネットからのSAPアプリケーションへのアクセスを見直して制限し、侵害の兆候がないかSAPアプリケーションを監視するよう呼びかけています。
翻訳元: https://thehackernews.com/2025/08/public-exploit-for-chained-sap-flaws.html