セキュリティ専門家は、SAP S/4HANAクラウドの顧客に対し、ベンダーが8月に修正した重大なコードインジェクションの脆弱性が実際に悪用されていると警告しています。
この脆弱性(CVE-2025-42957)はCVSSスコア9.9で、低いユーザー権限しか持たない攻撃者でも、組織のSAPシステムを完全に制御できてしまう可能性があります。
「SAP S/4HANAは通常、組織の財務、サプライチェーン、業務プロセスの中枢システムであるため、これが侵害されると、あらゆる業種の組織に甚大な損害をもたらす可能性があります」と、PathlockのSAPセキュリティアナリスト、ジョナサン・ストロス氏は述べています。
「ほぼすべての大企業がSAP S/4HANAを利用しています。銀行や保険から製造、エネルギー、医療、公共部門に至るまでです。この脅威は、グローバルな多国籍企業だけでなく、中規模企業にも影響します。両者ともS/4HANAに依存してビジネスを運営しているからです」と彼は付け加えました。
さらにSAPの脅威について読む:重大なSAP NetWeaverの脆弱性に対する公開エクスプロイトがリリース
ベンダーは、攻撃が成功すれば、脅威アクターが標的のSAPシステムに管理者レベルの制御権を持ち、OSレベルの干渉も可能になると警告しています。これにより、機密データの窃取、認証情報の収集、バックドアの設置、ランサムウェア、業務の妨害などが引き起こされる可能性があります。
「SAP S/4HANAは、ユーザー権限を持つ攻撃者がRFC経由で公開されているファンクションモジュールの脆弱性を悪用することを可能にします。この欠陥により、重要な認可チェックを回避して任意のABAPコードをシステムに注入することができます」と、この脆弱性についてNVDのエントリーは指摘しています。
「この脆弱性は事実上バックドアとして機能し、システムの完全な侵害のリスクを生み出し、システムの機密性、完全性、可用性を損ないます。」
オランダ国立サイバーセキュリティセンターによると、この脆弱性はSAPが8月12日に修正しましたが、すでに実際に悪用されている事例があるとのことです。ただし、現時点で公開されているエクスプロイトはありません。
回避策なし、パッチ適用が不可欠
回避策はなく、リスクを軽減する唯一の方法はパッチを適用することです。
ストロス氏は、このような重大な脅威に直面しているSAP顧客にとって、1か月のパッチ適用スケジュールは「もはや現実的ではない」と警告しています。
「残念ながら、CVE-2025-42957に対して未だパッチが適用されておらず、脆弱なままの組織が何百も存在しています。これは、企業がSAPのセキュリティアップデートに追いつくことの難しさも浮き彫りにしています」と彼は付け加えました。
「SAP環境で修正を適用するのは、単一システムのアップデートのように簡単ではありません。大企業のSAPは複数の相互接続されたプラットフォームで構成されており、深くカスタマイズされています。各パッチは慎重にテストする必要があり、特にこれらのシステムが財務、人事、調達、サプライチェーンなど重要な業務領域にまたがっている場合はなおさらです。」
翻訳元: https://www.infosecurity-magazine.com/news/sap-s4hana-patch-critical/