記事本文(要約)
中国と関連のある脅威グループ「Chaya_004」が、SAP NetWeaverの脆弱性CVE-2025-31324(CVSSスコア:10.0)を悪用していると報告されました。この脆弱性は、攻撃者が”/developmentserver/metadatauploader”経由でリモートコード実行(RCE)を実現可能にする重大な欠陥です。Forescout Vedere Labsによると、この脆弱性は2025年4月から攻撃に利用されています。被害はエネルギー、製造、医薬など様々な業界に及んでおり、複数の脅威アクターがウェブシェルの展開や暗号通貨のマイニングを目的にこの脆弱性を狙っています。Chaya_004は、Golangで書かれたSuperShellをIPアドレス47.97.42[.]177上にホストしています。防御策として、速やかなパッチ適用とメタデータアップローダーへのアクセス制限が推奨されています。
※この要約はChatGPTを使用して生成されました。
公開日: Fri, 09 May 2025 09:59:00 +0530
Original URL: https://thehackernews.com/2025/05/chinese-hackers-exploit-sap-rce-flaw.html
詳細な技術情報
CVE番号
- CVE-2025-31324(CVSSスコア:10.0):これはSAP NetWeaverに関する深刻な脆弱性です。
脆弱性の仕組み
- 脆弱性は、SAP NetWeaverの”/developmentserver/metadatauploader”エンドポイントを経由して利用されます。このエンドポイントが攻撃者により利用されることで、リモートコード実行(RCE)が可能になります。これにより、攻撃者はサーバーにウェブシェルをアップロードして任意のコードを実行することができるようになります。
攻撃手法
- 脆弱性を利用して、攻撃者はウェブシェルやBrute Ratel C4ポストエクスプロイトフレームワークをサーバーに仕掛けます。
- 攻撃者はまず、偵察活動を行い、特定のペイロードを使用して脆弱性をテストします。
- ウェブシェルを用いて、攻撃者はリバースシェル(例:Golangで書かれたSuperShell)を展開し、さらに様々な攻撃ツールを使用してシステムを制御します。
潜在的な影響
- この脆弱性による影響は広範囲に及び、エネルギー、ユーティリティ、製造業、メディア、石油・ガス、製薬、小売業、政府機関など、世界中の多くのSAPシステムが影響を受けています。
- 攻撃者はウェブシェルを利用してシステムを操り、さらに仮想通貨のマイニングを仕掛ける可能性もあります。
- 将来的には、この脆弱性を悪用したより高度な攻撃が増加する可能性が高いです。
推奨される対策
- パッチ適用: 既に適用されていない場合は、速やかにSAPから提供されるパッチを適用する。
- アクセス制限: “/developmentserver/metadatauploader”エンドポイントへのアクセスを制限する。
- 不要なサービスの無効化: Visual Composerサービスが使用されていない場合は無効にする。
- 監視の強化: サーバーにおける異常な活動を監視し、特に脆弱性に関連する疑わしい動きを早期に検知する。
組織は、セキュリティベンダーとの連携を強化し、脅威情報を積極的に収集および活用することで、この種の攻撃に対する防御体制を強化することが求められます。この問題はすでにパッチが出されたにも関わらず、攻撃の脅威が依然として存在しているため、継続的なセキュリティ対策が必須です。
