記事本文(要約)
少なくとも2つのサイバー犯罪グループ、BianLianとRansomExxが、最近公開されたSAP NetWeaverのセキュリティ脆弱性を悪用していることが判明しました。セキュリティ企業ReliaQuestによると、BianLianは以前特定されたIPアドレスに関連付けられており、rs64.exeによるリバースプロキシサービスを提供するサーバーが攻撃に利用されていたことが確認されています。また、RansomExxとして知られるStorm-2460も関与しているとされています。
攻撃は、WindowsのCLFSの特権昇格の脆弱性(CVE-2025-29824)を利用したPipeMagicトロイの木馬などを含むもので、特にアメリカ、ベネズエラ、スペイン、サウジアラビアを標的にしていました。攻撃者は、SAP NetWeaverの脆弱性を利用してWebシェルを設置し、Brute Ratel C2フレームワークを用いて攻撃を試みました。
さらに、複数の中国のハッキンググループもCVE-2025-31324を悪用しており、SAPのセキュリティ企業Onapsisは、この脆弱性とCVE-2025-42999の修正パッチが公開されたことを報告しています。ReliaQuestは、これらのCVEsはどちらも同様の影響を持つため、修正アドバイスも共通していると述べています。
※この要約はChatGPTを使用して生成されました。
公開日: Wed, 14 May 2025 23:20:00 +0530
Original URL: https://thehackernews.com/2025/05/bianlian-and-ransomexx-exploit-sap.html
詳細な技術情報
この文章では、最近公開されたSAP NetWeaverのセキュリティ欠陥が、BianLianやRansomExxという2つのサイバー犯罪グループによって悪用されているという状況が説明されています。以下に、CVE番号、脆弱性の仕組み、攻撃手法、潜在的な影響、推奨される対策について詳しく説明します。
CVE番号と脆弱性の仕組み
- CVE-2025-29824: Windows Common Log File System (CLFS) における特権昇格のゼロデイ脆弱性。攻撃者は特権を昇格させることが可能であり、これによりシステム全体へのアクセスを得ることができます。
- CVE-2025-31324: SAP NetWeaverに関する脆弱性で、完全なシステムアクセスを可能にします。攻撃者は認証済みおよび未認証の状態でもこの脆弱性を悪用可能です。
- CVE-2025-42999: 同じコンポーネントに存在するデシリアライズの脆弱性。これにはより高い特権が必要ですが、CVE-2025-31324の修正が適用されない限り、類似した影響があります。
攻撃手法
- BianLianグループはrs64.exeを介してリバースプロキシサービスを設定し、コマンド・アンド・コントロール (C2) サーバーを経由して攻撃を実行。
- RansomExx(MicrosoftによってStorm-2460と追跡される)は、Brute Ratel C2フレームワークをMSBuildタスクを使用して実行し、CLFSの脆弱性を悪用。
- PipeMagicというトロイの木馬を使用し、ウェブシェルを介してSAP NetWeaverの脆弱性を悪用しました。
潜在的な影響
- 攻撃者がシステム全体へフルアクセスを取得可能。
- データの流出、サービスの中断、ランサムウェアによる暗号化といった影響が懸念されます。
- 多くの国(アメリカ、ベネズエラ、スペイン、サウジアラビアなど)で影響が確認されており、国際的な問題となっています。
推奨される対策
- パッチ適用: CVE-2025-31324 と CVE-2025-42999の修正パッチを早急に適用すること。
- システム監視: 異常なネットワークトラフィックや不正なプロキシサービスの設定を監視。
- アクセス制御: アクセス権の厳格な管理とログイン試行の監視を強化。
- 侵入防止システム(IPS): 既知の攻撃手法に対するシグネチャ更新で、リアルタイムの攻撃を防ぐ。
- 従業員の意識向上: フィッシング攻撃やマルウェアに対する教育を強化し、セキュリティ意識を高める。
