記事本文(要約)
1,200以上のSAP NetWeaverインスタンスが、攻撃者に無認証でのファイルアップロードを許可し、サーバーを乗っ取ることが可能な最大深刻度の脆弱性(CVE-2025-31324)にさらされており、これが実際に悪用されています。SAP NetWeaverは、SAPおよび非SAPアプリケーションを接続するプラットフォームです。この脆弱性は、SAP NetWeaver Visual ComposerのMetadata Uploaderコンポーネントに存在し、リモートの攻撃者が任意の実行可能ファイルをアップロードできるというものです。ReliaQuest、watchTowr、Onapsisなどのサイバーセキュリティ企業は、この脆弱性が攻撃に積極的に利用されていることを確認しました。
SAPは、2024年4月8日に回避策を、4月25日にこの脆弱性に対処するセキュリティアップデートをリリースしました。現在、427のサーバーが露出しており、米国に最も多く(149)、次いでインドやオーストラリアなどに多くのインスタンスが存在します。Onypheによると、1,284の脆弱なサーバーがオンラインにあり、そのうち474が既にウェブシェルで妥協されています。この脆弱性に対しては、最新のセキュリティアップデートの適用が推奨されています。もし適用が難しい場合は、特定のエンドポイントへのアクセス制限やログの転送、未承認ファイルのスキャンが推奨されます。
※この要約はChatGPTを使用して生成されました。
公開日: Mon, 28 Apr 2025 12:46:43 -0400
Original URL: https://www.bleepingcomputer.com/news/security/over-1-200-sap-netweaver-servers-vulnerable-to-actively-exploited-flaw/
詳細な技術情報
以下は、提供された文章に基づく詳細な分析です。
CVE番号
- CVE-2025-31324: この脆弱性は、SAP NetWeaver Visual ComposerのMetadata Uploaderコンポーネントに関連しています。
脆弱性の仕組み
- この脆弱性は、認証なしで任意の実行可能ファイルをアップロードできる問題を利用します。攻撃者は、この脆弱性を悪用してコードを実行し、システム全体を乗っ取ることが可能です。
攻撃手法
- 脆弱なSAP NetWeaverインスタンスに対してリモートから攻撃を仕掛け、任意の実行ファイルをアップロードすることで、攻撃者はサーバ上にウェブシェルを設置します。これによって、継続的なリモートアクセスが可能になります。
- 攻撃者は「cache.jsp」や「helper.jsp」といった名前のウェブシェルを使用しており、識別を困難にするためにランダムな名前のファイルも用いています。
潜在的な影響
- 攻撃が成功すると、攻撃者はサーバ全体を制御下に置くことができ、企業のデータやシステム運用に重大な影響を与える可能性があります。特に、大企業や多国籍企業で広く使用されているため、影響は深刻です。
- 現時点で、攻撃によって顧客のデータやシステムに影響が出たケースは報告されていませんが、脆弱なサーバの攻撃対象が広がっていることは大きな懸念材料です。
推奨される対策
- セキュリティ更新の適用: ベンダーの指示に従って、最新のセキュリティアップデートを適用することが最も効果的です。
- エンドポイントの制限:
/developmentserver/metadatauploaderエンドポイントへのアクセスを制限する。Visual Composerを使用していない場合は、機能を完全に無効化することも検討してください。 - ログの監視: ログをSIEM(セキュリティ情報イベント管理)に転送し、不正なファイルのアップロードをスキャンすることで、潜在的な侵入を早期に検知する。
- ツールの活用: RedRaysが提供するCVE-2025-31324用スキャナーツールを使用して、広範囲の環境におけるリスクを特定する。
これらの対策を講じることで、リスクを大幅に軽減できますが、迅速な対応が求められます。SAPが今後提供する追加のガイダンスにも注視してください。
