Source: https://thehackernews.com/2025/07/hackers-exploit-sap-vulnerability-to.html
🛡 概要
2025年4月、攻撃者が修正されたSAP NetWeaverの脆弱性(CVE-2025-31324)を利用して、米国の化学会社を標的にした攻撃が発生しました。この攻撃により、Auto-Colorというバックドアマルウェアが配布され、ネットワーク内部への侵入が試みられました。攻撃者は、疑わしいファイルのダウンロードを試み、悪意のあるインフラストラクチャと通信していました。これにより、企業の情報セキュリティが脅かされる事態が発生しました。
🔍 技術詳細
CVE-2025-31324は、SAP NetWeaverに存在する深刻な認証されていないファイルアップロードの脆弱性です。この脆弱性を悪用することで、リモートコード実行(RCE)が可能となります。攻撃者は、インターネットに接続されたデバイスを侵害し、Auto-Colorマルウェアを含むELFファイルをダウンロードしました。このマルウェアは、リモートアクセス型トロイの木馬として機能し、Linuxホストへのリモートアクセスを可能にします。Auto-Colorは、北米やアジアの大学や政府機関に対する過去の攻撃でも確認されており、様々な機能を持っています。これにはリバースシェル、ファイルの作成と実行、システムプロキシの設定、ペイロードの操作、システムプロファイリング、そしてキルスイッチが発動した際の自己削除などが含まれます。
⚠ 影響
この脆弱性の悪用により、攻撃者は企業のネットワークに侵入し、情報漏洩やシステムの完全な制御を引き起こす可能性があります。Auto-Colorマルウェアは、接続先のC2サーバーに失敗した場合に悪意のある挙動を隠す機能を持っており、検出を回避するための巧妙な手法を用いています。このような攻撃が成功すれば、企業の信頼性や顧客情報の保護が脅かされることになります。特に、重要なインフラや機密情報を扱う企業にとっては、深刻なセキュリティリスクとなります。
🛠 対策
企業は、SAP NetWeaverの最新のパッチを適用し、CVE-2025-31324の脆弱性を修正することが最優先です。また、ネットワークの監視を強化し、異常な活動を早期に検出するためのセキュリティ対策を導入することが重要です。ファイアウォールやIDS/IPSを使用して、不審なトラフィックをブロックし、定期的なセキュリティ監査を実施することも推奨されます。従業員に対しても、フィッシング攻撃やマルウェアに関する教育を行い、セキュリティ意識を高めることが必要です。
