(画像クレジット: SAP)
- SAPは、システム全体の乗っ取りが可能となる重大なS/4HANAの脆弱性を修正
- 攻撃者はRFCを利用してABAPコードを注入し、認可を回避可能
- 一部のシステムは未修正のままで、すでに悪用が確認されています
S/4HANAは、SAPのエンタープライズリソースプランニング(ERP)ソフトウェアスイートであり、脅威アクターが脆弱なエンドポイントを完全に乗っ取ることを可能にする重大な脆弱性が存在していました。
同社は、セキュリティ研究者が「限定的な」実際の悪用を警告した後、パッチをリリースしました。
SecurityBridgeの研究者が、不適切なコード生成制御の問題を発見・報告しました。これによりコードインジェクションが発生する可能性があります。ユーザー権限を持つ攻撃者は、RFC経由でこの脆弱性を悪用し、任意のABAPコードを注入して重要な認可チェックを回避することができます。
リバースエンジニアリング
NVDによると、この脆弱性は「事実上、バックドアとして機能しうる」ものであり、「システム全体の侵害」につながる可能性があります。
この脆弱性はCVE-2025-42957として追跡されており、深刻度スコアは9.9/10(クリティカル)と評価されています。2025年6月27日に発見され、8月11日に修正されました。
しかし、SecurityBridgeによると、すべてのユーザーが迅速にパッチを適用したわけではなく、脅威アクターの積極的な標的となっています。
「広範な悪用はまだ報告されていませんが、SecurityBridgeはこの脆弱性の実際の悪用を確認しています」と研究者は述べています。「つまり、攻撃者はすでにこの脆弱性の使い方を知っており、未修正のSAPシステムは危険にさらされています。」
「さらに、SAP ABAPの場合、ABAPコードが誰でも閲覧可能なため、パッチをリバースエンジニアリングしてエクスプロイトを作成するのは比較的容易です。」
SecurityBridgeは、脅威アクターがこの脆弱性を悪用して機密ファイルの窃取、データの改ざん、マルウェアの展開、権限昇格、ログイン認証情報の窃取、さらにはランサムウェアの投入さえも行う可能性があると強調しています。現時点では、どのグループが、どのように、誰に対してこの脆弱性を悪用しているかは分かっていません。
SAPによると、影響を受けるインスタンスには複数バージョンのS/4 HANA(プライベートクラウドおよびオンプレミス)、Landscape Transformation、Business One、NetWeaver Application Server ABAPが含まれます。詳細なリストはこちらで確認できます。より詳細な情報は、アクティブなアカウントを持つSAP顧客のみが閲覧可能なブリテンで公開されています。
