記事本文(要約)
サイバー攻撃者がSAP NetWeaverの新たな脆弱性を利用してJSPウェブシェルをアップロードし、ファイルやコードの不正なアップロードと実行を試みている可能性があります。この脆弱性は「/developmentserver/metadatauploader」エンドポイントを起点としており、悪意あるJSPウェブシェルを「servlet_jsp/irj/root/」にアップロードすることで持続的なリモートアクセスを確保します。攻撃者は、これを利用してBrute Ratel C4やHeaven’s Gate手法を用いてエンドポイント保護を回避しています。
ReliaQuestが発表した報告によれば、この攻撃はCVE-2025-31324として追跡される新たな脆弱性を利用していることが確認されています。この脆弱性は、ネットワーカーシステム上で未認証で潜在的に悪意のあるバイナリをアップロードできるというもので、CVSSスコアは10.0の最大の深刻度です。この脆弱性は、以前報告された脆弱性(例:CVE-2017-9844)や未報告のリモートファイルインクルージョン(RFI)問題に関連している可能性があります。
SAPはこの脆弱性に対するセキュリティパッチを公開しており、この脆弱性の悪用が確認された活動は、初期アクセスブローカー(IAB)がアクセスを販売している可能性を示唆しています。CVE-2025-31324は、「SAP NetWeaver Visual Composer Metadata Uploader」における認証の欠如に起因し、攻撃者に無許可で悪意のあるファイルをアップロードさせる恐れがあります。
※この要約はChatGPTを使用して生成されました。
公開日: Fri, 25 Apr 2025 16:11:00 +0530
Original URL: https://thehackernews.com/2025/04/sap-confirms-critical-netweaver-flaw.html
詳細な技術情報
以下は、本文中の脆弱性に関する詳細な分析です。
1. CVE番号と脆弱性の仕組み
- CVE番号: CVE-2025-31324
- 脆弱性の仕組み: SAP NetWeaver Visual ComposerのMetadata Uploaderコンポーネントが適切な認証機構で保護されていないため、未認証の攻撃者が任意の実行可能バイナリをホストシステムにアップロードすることを許可する「無制限のファイルアップロード」(Unrestricted File Upload)の脆弱性です。
2. 攻撃手法
- 攻撃者は、認証されていない状態で、Metadata Uploaderを介して任意のファイルをシステムにアップロードし、これにより悪意のあるJSPウェブシェルを設置して持続的なリモートアクセスを確立します。
- JSPウェブシェルを使用して、リモートからコードを実行し、不正なファイルをアップロードしたり、機密データを盗み出すことが可能になります。
- 「Brute Ratel C4」ポストエクスプロイテーションフレームワークや「Heaven’s Gate」と呼ばれる既知の手法を用いて、エンドポイントの保護を回避することも観察されています。
3. 潜在的な影響
- 攻撃者は感染したホスト上で永続的な制御を確立し、システムに大きなダメージを与える可能性のある悪意あるファイルをアップロードできます。
- 機密情報の漏洩や、システムの完全な破壊・ログの改ざんなど、企業の業務に重大な支障をきたす恐れがあります。
- 特に政府機関や大企業に展開されるSAPソリューションが攻撃の標的となる可能性が高く、その結果、国家レベルのデータ漏洩につながるリスクがあります。
4. 推奨される対策
- アップデートの適用: SAPがリリースした脆弱性の修正パッチを迅速に適用し、システムを最新の状態に保つことが急務です。
- アクセス制御の強化: Metadata Uploaderなどの重要なコンポーネントに対して、適切な認証とアクセス制御を設定し、未認証のアクセスを防止します。
- セキュリティ監視の強化: 異常な活動の早期検出のために、システムのログやネットワークトラフィックの監視を強化することが推奨されます。
- 従業員の教育: フィッシング攻撃等を防ぐため、従業員に対するセキュリティ教育を行い、ソーシャルエンジニアリングに対する警戒心を高めます。
