🛡 概要
2025年4月、サイバーセキュリティ企業Darktraceは、SAP NetWeaverの脆弱性CVE-2025-31324を悪用した攻撃を発見しました。この脆弱性は、認証なしで悪意のあるバイナリファイルをアップロードできるため、攻撃者がリモートコード実行を実現することを可能にします。特に、アメリカの化学会社が標的となり、Auto-ColorというLinuxマルウェアが展開されました。このマルウェアは、ユーザーの権限レベルに応じて挙動を調整し、持続的な悪性活動を行うために特別な手法を使用します。
🔍 技術詳細
CVE-2025-31324は、SAP NetWeaverに存在するクリティカルな脆弱性で、攻撃者が未認証の状態で悪意のあるバイナリをアップロードし、リモートコード実行を可能にします。この脆弱性は、2025年4月に修正されましたが、攻撃者はこの脆弱性を利用してAuto-Colorマルウェアを展開しました。Auto-Colorは、ファイルの改ざんや逆シェルを介した完全なリモートアクセスを提供する能力を持つほか、動的な構成更新やプロキシトラフィックの転送機能も備えています。さらに、ルートキットモジュールを用いて悪意のある活動を隠蔽することができます。このマルウェアは、特に大学や政府機関をターゲットにしており、新たな回避策も実装されています。
⚠ 影響
Auto-Colorマルウェアの展開により、企業や組織は深刻な影響を受ける可能性があります。特に、データの漏洩やシステムの完全な制御を奪われるリスクが高まります。Darktraceによると、Auto-ColorはC2サーバーに接続できない場合、悪意のある動作を抑制し、分析者に対して無害に見えるように振る舞います。このため、逆解析が困難になり、マルウェアの完全な機能を理解することができなくなります。また、セキュリティツールが悪性活動を検出できない可能性もあります。
🛠 対策
管理者は、SAPから提供されているセキュリティアップデートを迅速に適用することが重要です。特に、CVE-2025-31324を悪用されないようにするためには、脆弱性を修正した最新のパッチを適用することが求められます。また、システムの監視を強化し、不審な活動を早期に検出するための対策を講じることも重要です。さらに、ユーザー教育を通じて、フィッシングやマルウェアに対する意識を高めることが求められます。これにより、攻撃の初期段階での侵入を防ぐことができるでしょう。
