記事本文(要約)
SAPは、SAP NetWeaverサーバーを標的とした最近の攻撃で利用された新たなゼロデイ脆弱性に対処するパッチをリリースしました。この脆弱性(CVE-2025-42999)は、無認証ファイルアップロードの欠陥(CVE-2025-31324)の調査中に発見されました。攻撃者は、JSPウェブシェルを公開ディレクトリにアップロードすることで、システムに侵入しています。SAPは、これらの脆弱性を悪用した攻撃が1月から行われていることを確認し、すべてのユーザーに対して直ちにパッチの適用を推奨しています。また、CVE-2025-31324はCISAの既知の悪用脆弱性カタログに追加され、連邦機関には5月20日までにシステムの強化を命じています。
※この要約はChatGPTを使用して生成されました。
公開日: Tue, 13 May 2025 16:48:18 -0400
Original URL: https://www.bleepingcomputer.com/news/security/sap-patches-second-zero-day-flaw-exploited-in-recent-attacks/
詳細な技術情報
以下に、提供された文章に基づき、CVE-2025-42999とCVE-2025-31324に関連する脆弱性についての分析を示します。
CVE番号
- CVE-2025-42999: SAP NetWeaverにおける、インセキュアなデシリアライゼーションの脆弱性。
- CVE-2025-31324: SAP NetWeaver Visual Composerにおける、認証なしにファイルをアップロードできる脆弱性。
脆弱性の仕組み
- CVE-2025-42999: インセキュアなデシリアライゼーションの脆弱性により、攻撃者は悪意のあるオブジェクトをシステムに送り込み、リモートで任意のコードを実行することが可能になります。この脆弱性は、VisualComposerUser役を持つユーザーによってのみ悪用される可能性があります。
- CVE-2025-31324: 認証なしでのファイルアップロードの脆弱性により、攻撃者は任意のファイルをアップロードし、JSPウェブシェルを公開ディレクトリに配置することが可能となり、システムに不正アクセスを行うことができます。
攻撃手法
- 攻撃者は、まずCVE-2025-31324を利用して認証なしにウェブシェルをアップロードします。
- その後、CVE-2025-42999のデシリアライゼーションの脆弱性をチェーンして、任意のコマンドをリモートで実行し、システム全体を制御することが可能となります。
潜在的な影響
- 世界的な企業(Fortune 500/Global 500)の一部を含む、多くのSAP NetWeaverインスタンスが影響を受け、これらのシステムが既に攻撃者により妥協されているとの報告があります。
- 攻撃の被害は重大で、リモートからの任意のコード実行により、システムデータの漏洩、改ざん、不正利用が引き起こされる可能性があります。
- 大規模な企業や政府機関においても広範囲に影響が及び、国家レベルのセキュリティリスクにもつながります。
推奨される対策
- パッチの適用: 全てのSAP NetWeaverインスタンスに対して、SAPが提供する最新のセキュリティパッチを直ちに適用することが重要です。
- Visual Composerサービスの無効化: 可能であれば、Visual Composerサービスを無効化することを検討します。
- アクセス制御: メタデータアップローダーサービスへのアクセスを制限し、許可されたユーザーのみが利用できるようにします。
- モニタリング: サーバー上の怪しい活動を監視し、異常なアクセスパターンやファイル改ざんの兆候を迅速に検出できるよう体制を整備します。
- CISAの指示に準拠: 特に米国の連邦機関は、CISAの要求に従い、5月20日までに全ての関連システムのセキュリティを確保することが要請されています。
結論
両方の脆弱性は攻撃者による深刻な不正アクセスを可能にするため、迅速な対応が求められます。SAPからの声明や提供されるセキュリティノートを参考に、適切な対策を講じることが、これらの脆弱性による被害を最小限に抑えるためには不可欠です。
