CVE-2025-31324として追跡されているSAP NetWeaver AS Java Visual Composerの重大な脆弱性が、公開エクスプロイトツールのリリースを受けて広く悪用されています。
この脆弱性は、2025年4月に修正されており、プラットフォームのメタデータアップローダーエンドポイントを通じて認証なしでリモートコード実行が可能となります。
新たな点は、エクスプロイトの完全なソースコードが公開され、技術的な知識がほとんどない攻撃者でも簡単に利用できるようになったことです。
「ソースコードが広く公開されたことで、スクリプトキディでも利用できるようになりました」とPathlockのSAPセキュリティアナリスト、ジョナサン・ストロス氏は述べています。
「このエクスプロイトは実行が非常に簡単で、数分で動作させることができます。GPTのようなAIツールを使えば、経験の浅いハッカーでもパッチ未適用の組織に重大な被害を与える可能性があります。」
積極的な悪用が確認
米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は最近、CVE-2025-31324を既知の悪用脆弱性(KEV)カタログに追加し、その深刻さを強調しています。
実際、この脆弱性はSAPのCNAによってCVSSスコア10.0、NVDによって9.8と評価され、最優先の脅威とされています。
「Pathlockリサーチチームからのこの新しいレポートは、企業のサイバーセキュリティ担当者にとって必読です」とDeepwatchのサイバーセキュリティ・イネーブルメントディレクター、フランキー・スクラファニ氏は述べています。
「4月に修正されたSAP NetWeaver Java Visual Composerの脆弱性が、現在広く悪用されていることを強調しています。」
SAPのサイバーセキュリティ脅威についてさらに読む:SAP NetWeaverの脆弱性がランサムウェアグループや中国支援のハッカーに悪用される
スクラファニ氏はさらに次のように述べています。「これは単なる仮定上のリスクではありません。CISAはすでにこの脆弱性を[KEV]カタログに追加しています。これは実際の攻撃が発生していることを示しています。要するに、このソフトウェアを使用していて、まだパッチを適用していない場合、深刻なリスクにさらされています。」
Pathlockはまた、アップローダーのバグと組み合わせて攻撃に利用されている、不正なデシリアライズに関する関連脆弱性CVE-2025-42999も指摘しています。
SAPはセキュリティノート3594142および3604119で両方の問題に対応しました。
組織への推奨事項
リスクを軽減するため、Pathlockは即時の対応を推奨しています:
-
すべてのJavaインスタンスにSAPセキュリティノート3594142および3604119を適用する
-
脆弱な/developmentserver/metadatauploaderエンドポイントへのアクセスをブロックまたは制限する
-
HTTPログ、サーブレットチェック、SIEMアラートを用いて侵害の兆候を調査する
-
侵害が確認された場合、影響を受けたノードを隔離し、証拠を保全し、認証情報をローテーションし、クリーンなベースラインから再構築する
「NetWeaverは、これらの製品がホストされているウェブアプリケーションです」とBlack Duckのシニアスタッフコンサルタント、ニヴェディタ・マーティ氏は述べています。
「この脆弱性は、攻撃者が認証なしで他のサービスに横断的にアクセスし、より高度な攻撃を実行できるため、非常に重大です。」
画像クレジット:Michael Vi / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/sap-netweaver-flaw-exploit-released/