パッチチューズデーの優先事項：SAP NetWeaverおよびMicrosoft NTLMとHyper-Vの脆弱性

自社環境にSAP NetWeaver AS Javaサーバーを持つCISOは、管理者が2つの非常に重大な脆弱性をできるだけ早く修正するように注意すべきです。

これらは、本日複数のベンダーから発表された月例パッチチューズデー修正の中でも最も重要なものの一部です。

最も深刻なNetWeaverの脆弱性、CVE-2025-42944は、CVSSスコア10で、AS JavaのRMI-P4モジュールにおける安全でないデシリアライズの脆弱性です。

「この脆弱性は、認証されていない攻撃者が悪意のあるペイロードをオープンポートに送信することで任意のOSコマンドを実行できるものです」とOnapsisのセキュリティ研究者は指摘しています。「攻撃が成功すると、アプリケーションが完全に侵害される可能性があります」と彼らはブログで述べています。

パッチを適用するまでの一時的な回避策として、管理者はICMレベルでP4ポートフィルタリングを追加し、未知のホストがP4ポートに接続できないようにするべきです。

この脆弱性は、研究者がScattered LAPSUS$ ShinyHuntersと呼ぶ脅威グループが数週間前に公開した攻撃と同様の手法で悪用される可能性があります、とOnapsis CTOのJuan Pablo Perez-Etchegoyen氏はCSOに語りました。「この脆弱性が認証不要でデシリアライズ脆弱性であるという事実だけでも非常に重大です」と彼は述べています。「防御側にとって良い点は、この脆弱性は通常インターネットに公開されていないRMI-P4 SAPプロトコル経由で悪用されることです。」

デシリアライズの脆弱性はNetWeaverのような製品でよく見られると、SANS Instituteの研究部長Johannes Ullrich氏はCSOに語りました。例えば、彼によれば、NetWeaverの直接の競合であるOracle WebLogicも同様の脆弱性に多数影響を受けています。

2番目に深刻なNetWeaver AS Javaの脆弱性はCVSSスコア9.9の安全でないファイル操作の脆弱性です。このサービスの欠陥により、管理者権限を持たない認証済みユーザーが任意のファイルをアップロードできます。ファイルが実行されると、システムが完全に侵害される可能性があります。Perez-Etchegoyen氏は、この脆弱性はHTTP経由で悪用できるため非常に重大だと指摘しています。ただし、悪用には認証済みユーザーが必要なため、攻撃者にとっては追加の障壁となります。

また、IBM iシリーズ上で稼働するNetWeaverアプリケーションにおいて、認証チェックが欠如しているために、高権限の未承認ユーザーが機密情報の読み取り、変更、削除、さらには管理機能や特権機能へのアクセスが可能となる脆弱性も修正が必要です。この脆弱性はCVSSスコア9.1です。

Perez-Etchegoyen氏は、CISOが本日の最も重大な修正（CVSS 9.9および10のもの）について、できるだけ早く対応するようスタッフに指示することを推奨しています。

しかし、彼はさらに、8件のHotNewsおよびHigh Priority Notesも重要であり、優先順位付け、分析、理想的にはできるだけ早く対応する必要があると付け加えています。

Microsoftのパッチ

一方、Microsoftは9月のパッチチューズデーの一環として、ゼロデイを含む13件の重大な脆弱性の修正をリリースしました。

今年3回目となるが、Microsoftはリモートコード実行の脆弱性よりも権限昇格の脆弱性を多く修正したと、TenableのシニアスタッフリサーチエンジニアSatnam Narang氏は指摘しています。今月のバグのほぼ半数が権限昇格の脆弱性です。Narang氏は、こうしたタイプの脆弱性の多くは、攻撃者がまずターゲットシステムにアクセスした後（侵害後）に権限昇格を試みる必要があると付け加えています。

SMB修正を巡る論争

今月修正されたゼロデイ脆弱性の一つは、CVE-2025-55234で、Windows Server Message Block（SMB）における権限昇格の脆弱性ですでに公に公開されています。Microsoftによれば、一部の構成では、この脆弱性によりSMBサーバーがリレー攻撃にさらされる可能性があります。このパッチは、顧客が環境を監査・評価し、SMBサーバーの強化機能を利用する前に非互換性の問題を特定できるようにするためにリリースされたようだとNarang氏は述べています。

このパッチは、9月のパッチの中で展開以外の追加作業が必要な例だと、Action1の社長Mike Walters氏はコメントしています。組織はまず監査を有効にするためのアップデートを展開し、その後互換性を評価してから、署名や認証の拡張保護の実装などのSMBサーバー強化措置を取る必要があります。CISOは、業務への影響を避けるために、評価・テスト・実装を含む段階的なアプローチを計画すべきだとWalters氏は助言しています。

しかし、FortraのR&DアソシエイトディレクターTyler Reguly氏は、「[このリスト]には二度見した」と述べ、CVE当局によって却下されるべきだったとしています。「SMBに対するリレー攻撃が可能であり、それに対する強化策があることは分かっています。ではなぜMicrosoftは、このCVEで『MicrosoftはこのCVEをリリースし、顧客が環境を評価し、リレー攻撃から保護するためのSMBサーバー強化措置を展開する前に、潜在的なデバイスやソフトウェアの非互換性問題を特定できるように監査機能を提供する』と述べているのでしょうか？」

「私の見解では、Microsoftは脆弱性があるからではなく、新たな監査機能を追加して保護策を支援するためにCVEを割り当てたと説明しています。もしそれが事実なら、CVEシステムの誤用です。そうでないなら、Microsoftは非常に迅速に説明を提供する必要があります。」

CISOは、このCVEに本当に脆弱性が関連しているのかMicrosoftに確認すべきだと彼は述べています。「もしベンダーが単に機能追加のためにCVEを使っているのであれば、CSOはそれに対して反論すべきです。正当なCVEが十分に発行されているので、新たな脆弱性がないCVEについて心配する必要はありません。これはすでに複雑な状況をさらに複雑にするだけです。」

Hyper-Vの脆弱性

Windows管理者は、Windows Hyper-Vハイパーバイザーの2つの脆弱性（CVE-2025-54098およびCVE-2025-55224）の迅速な修正にも注意を払うべきです。Microsoftによれば、Hyper-Vにおける不適切なアクセス制御により、認証済み攻撃者がローカルで権限を昇格させることが可能になります。

これらの脆弱性は、エンタープライズデータセンターを管理するCISOにとって特に注意が必要だとAction1のWalters氏は述べています。「これらのゲストからホストへのエスケープ脆弱性は、重要なワークロードを実行している仮想化ホスト全体を危険にさらす可能性があります」と彼は言います。「セキュリティリーダーは、データセンターおよび仮想化チームと緊密に連携し、これらのパッチを本番環境に迅速に適用するべきです。」

Walters氏がエンタープライズセキュリティリーダーに注目を促したもう一つの優先事項は、CVE-2025-54918、Windows NTLM権限昇格の脆弱性です。NTLMはユーザー認証のためのプロトコル群です。CVSSスコア8.8のこの脆弱性は、集中管理された認証インフラに影響し、攻撃者がネットワーク全体でSYSTEMレベルの権限を取得できる可能性があります。Microsoftはこれを「悪用の可能性が高い」と評価しており、同様の他の脆弱性よりも緊急性が高いことを示しています。「セキュリティチームは、ドメインコントローラーや認証サーバーに迅速にパッチを適用し、これらの重要なシステムの通常のパッチサイクルを加速させる必要があるかもしれません」と彼は述べています。

2022年以降、MicrosoftはWindowsのNTFSファイルシステムの脆弱性を多数修正してきたとTenableのNarang氏は述べており、これらの脆弱性の大半は情報漏洩や権限昇格につながっています。しかし今月、Microsoftは2025年にNTFSで2件目となるリモートコード実行の脆弱性を修正しました。1件目のCVE-2025-24993は3月に修正され、ゼロデイとして実際に悪用されていました。今回のものは悪用された形跡はありませんが、NTFSはWindowsで主要なファイルシステムであるため、引き続き注視すべきだとNarang氏は述べています。

HPC Packの脆弱性

FortraのReguly氏は、Microsoft High Performance Compute（HPC）Pack（CVE-2025-55232）における重大な脆弱性に注目しました。これにより、認証されていない攻撃者がネットワーク経由でコードを実行できる可能性があります。「これはCVSS 9.8の脆弱性であり、注意が必要です」と彼は述べています。Microsoftは、すぐに更新できない場合の緩和策も提供しています。これは重要な点であり、HPC Pack 2016のアップデートはHPC Pack 2019への移行となり、2016には修正がありません。「幸いにも、Microsoftはこれを悪用の可能性が低いとし、重要度も重要にとどめていますが、High Performance Compute Packを使用している場合は注意が必要です」と彼は述べています。

Kevin Breen氏（Immersiveの脅威研究シニアディレクター）は、今月のMicrosoftの脆弱性には実際に悪用されているものはないとされているが、「だからといってセキュリティチームが安心して何もしなくて良いということではありません。依然として迅速に修正すべき潜在的に重大な脆弱性が多数あります。脅威アクターは、組織がパッチを完全に展開する前に、セキュリティパッチをリバースエンジニアリングして動作するエクスプロイトを作成しようとすることで知られています。これらはn-day脆弱性と呼ばれています。」

彼は、前述のWindows NTLMの脆弱性（CVE-2025-54918）が、Microsoftによって「悪用の可能性が高い」とされているため、最優先でパッチを適用すべきリストの上位にあると考えています。