記事本文(要約)
最近、SAP NetWeaverの重大なセキュリティ脆弱性が、中国系の国家的グループによって重要インフラネットワークを狙う形で悪用されています。この脆弱性はCVE-2025-31324で、認証不要のファイルアップロードによってリモートコード実行(RCE)が可能となるものです。
被害対象には英国の天然ガスや水道、公的施設、米国の医療機器製造、石油ガス企業、サウジアラビアの投資戦略や金融規制を管轄する政府機関があります。攻撃は中国のUNC5221、UNC5174、CL-STA-0048というグループに関連づけられ、公開されたディレクトリやイベントログを介して複数のシステムに侵入した証拠が確認されています。
また、CVE-2025-31324の悪用後、脅威アクターはリモートアクセスを維持するためにウェブシェルを展開し、任意のコマンドを実行します。さらには、CVE-2025-42999という新たな脆弱性も発見され、これもまた悪用される可能性が指摘されています。この脆弱性はシリアライズ解除に関する問題を抱え、信頼できないコンテンツのアップロードに悪用される恐れがあります。
SAP NetWeaverのユーザーは、現在進行中の攻撃に注意し、システムを最新バージョンに更新することが強く推奨されています。
※この要約はChatGPTを使用して生成されました。
公開日: Tue, 13 May 2025 20:43:00 +0530
Original URL: https://thehackernews.com/2025/05/china-linked-apts-exploit-sap-cve-2025.html
詳細な技術情報
この分析は、SAP NetWeaverに影響を与える深刻なセキュリティ脆弱性、特にCVE-2025-31324に関するものです。この脆弱性は、未認証のファイルアップロードの脆弱性であり、リモートコード実行(RCE)を可能にします。この脆弱性を利用する多くの中国に関連付けられた国家支援の攻撃者によって、重要なインフラストラクチャネットワークが標的にされています。
CVE番号と脆弱性の詳細
- CVE番号: CVE-2025-31324
- 脆弱性の仕組み: 未認証のファイルアップロードによるリモートコード実行(RCE)
- 追加の脆弱性: CVE-2025-42999(非信頼コンテンツをアップロード可能なデシリアライゼーション脆弱性)
攻撃手法
攻撃者はこの脆弱性を利用して、以下の手法を用いています:
- Web Shellの展開: RCEを利用してシステムにWeb Shellを展開。これにより持続的なリモートアクセスが可能になります。
- マルウェアの導入: 各種のマルウェアが導入され、システム制御、リモートアクセス、データ収集などが行われます。特にリバースシェルの設立や、RustベースのKrustyLoaderを用いたペイロードの投入が報告されています。
- インターネットスキャンとエクスプロイトキャンペーン: SAP NetWeaverシステムに対する広範なスキャンとエクスプロイトが進行中です。
潜在的な影響
- 業界の幅広い影響: 自然ガス、上下水道管理、医療機器製造、石油・ガス産業、さらには政府省庁を含む様々な業界に影響を与える可能性があります。
- 長期的なアクセス維持: 攻撃者は長期間の戦略的アクセスを確保することで、インフラストラクチャの継続的な脅威となります。
推奨される対策
- ソフトウェアの更新: SAP NetWeaverのバージョンを可能な限り最新の状態に更新し、脆弱性修正を適用すること。
- セキュリティ監視の強化: ネットワークトラフィックの監視、異常挙動の検出および迅速な対応を行うためのセキュリティ監視体制を強化すること。
- ファイルアップロードに関する制御強化: アップロードされるファイルの検査および検証を徹底し、未認証ユーザーによる危険なファイルのアップロードを防ぐこと。
- アクセス制御の見直し: システムにアクセスするユーザー権限を定期的に見直し、最低権限の原則を適用すること。
- 教育とトレーニング: ITスタッフに対し、最新のセキュリティ脅威と攻撃手法に関する教育を施し、迅速な対応能力を向上させること。
