重大なSAP S/4HANAのコードインジェクション脆弱性が、公開されたサーバーへの侵入を目的とした攻撃で悪用されていると研究者が警告しています。
この脆弱性はCVE-2025-42957として追跡されており、SAP S/4HANAのRFCで公開されたファンクションモジュールにおけるABAPコードインジェクションの問題です。これにより、低権限の認証ユーザーでも任意のコードを注入し、認可を回避してSAPを完全に乗っ取ることが可能となります。
ベンダーは2025年8月11日にこの脆弱性を修正しており、重要(CVSSスコア:9.9)と評価しています。
しかし、多くのシステムでは利用可能なセキュリティアップデートが適用されておらず、これらがバグを武器化したハッカーの標的となっています。
SecurityBridgeのレポートによると、CVE-2025-42957は現在、限定的ながらも実際に野放しで悪用されています。
SecurityBridgeは、この脆弱性を発見し、2025年6月27日に責任を持ってSAPに報告し、パッチの開発にも協力したと述べています。
しかし、影響を受けるコンポーネントが公開されており、修正内容をリバースエンジニアリングできるため、高度なスキルと知識を持つ脅威アクターが自力でエクスプロイト方法を見つけ出すのは容易です。
「大規模な悪用はまだ報告されていませんが、SecurityBridgeはこの脆弱性の実際の悪用を確認しています」とSecurityBridgeのレポートは述べています。
「つまり、攻撃者はすでにその使い方を知っており、未修正のSAPシステムが危険にさらされています。」
「さらに、SAP ABAPの場合、ABAPコードは誰でも閲覧できるため、パッチをリバースエンジニアリングしてエクスプロイトを作成するのは比較的簡単です。」
セキュリティ企業は、CVE-2025-42957が悪用された場合の潜在的な影響として、データ窃取、データ改ざん、コードインジェクション、バックドアアカウントの作成による権限昇格、認証情報の窃取、マルウェアやランサムウェアなどによる業務妨害を挙げて警告しています。
SecurityBridgeは、この脆弱性を悪用してSAPサーバー上でシステムコマンドを実行できることを示すビデオを作成しました。
2025年8月のパッチデーの更新をまだ適用していないSAP管理者は、できるだけ早く適用する必要があります。
影響を受ける製品およびバージョンは以下の通りです:
- S/4HANA(プライベートクラウドまたはオンプレミス)、バージョン S4CORE 102, 103, 104, 105, 106, 107, 108
- Landscape Transformation(分析プラットフォーム)、DMIS バージョン 2011_1_700, 2011_1_710, 2011_1_730, 2011_1_731, 2011_1_752, 2020
- Business One(SLD)、バージョン B1_ON_HANA 10.0 および SAP-M-BO 10.0
- NetWeaver Application Server ABAP(BIC Document)、バージョン S4COREOP 104, 105, 106, 107, 108, SEM-BW 600, 602, 603, 604, 605, 634, 736, 746, 747, 748
推奨される対応策など、詳細情報を含むブリテンはこちらで入手可能ですが、SAPアカウントを持つ顧客のみ閲覧できます。
BleepingComputerは、CVE-2025-42957がどのように悪用されているかについてSAPおよびSecurityBridgeに問い合わせましたが、まだ回答を待っています。
