出典:Guy Corbishley(Alamy Stock Photoより)
ニュース速報
以前に悪用されたことのあるSAP NetWeaver Visual Composerの2つの重大な脆弱性が、新たなエクスプロイトによって再び攻撃を受けています。
この2つの脆弱性を連携させるエクスプロイトは、Scattered Spider、ShinyHunters、LAPSUS$を代表するTelegramチャンネルで公開されたと報告されています。
CVE-2025-31324およびCVE-2025-42999として追跡されているこれらの脆弱性は、デシリアライズのバグに連鎖して利用されます。マルウェアのソースコードやサンプル、リサーチを集めたオンラインリポジトリであるVX-Undergroundが、先週ソーシャルメディアプラットフォームXでこのエクスプロイトを公開しました。
Onapsisの調査によると、この攻撃チェーンでは、攻撃者がまずCVE-2025-31324(認証が欠如している脆弱性)を利用して重要な機能にアクセスし、ペイロードをサーバーに送り込みます。その後、CVE-2025-42999を悪用してペイロードをデシリアライズし、SAPシステムの権限でコードを実行します。Onapsisの研究者はこれを「ワンツーパンチ」と表現しており、認可されていない脅威アクターによる「壊滅的な」攻撃につながる可能性があると述べています。
Onapsisは、この2つの重大な脆弱性の組み合わせにより、最終的にはリモートコード実行(RCE)および影響を受けたシステムの完全な乗っ取りにつながる可能性があると警告しています。
「この脆弱性は実際に野放しで積極的に悪用されており、未修正のSAPシステムを持つ組織にとって明白かつ差し迫った危険です」と研究者は述べています。「このエクスプロイトは、これらの脆弱性がウェブシェルの展開だけでなく、ターゲットシステム上にアーティファクトを配置することなく、直接OSコマンドを実行することで“現地調達”の攻撃も可能であることを改めて示しています。」
組織がすでにSAPセキュリティノート3594142およびセキュリティノート3604119を適用している場合、このエクスプロイトには脆弱ではなく、直ちに対応する必要はありません。しかし、未適用の場合は、システムの完全な侵害、機密性の高い企業・顧客データの窃取、財務的・評判的な影響などを防ぐため、SAPシステムにパッチを適用する必要があります。