記事本文(要約)
セキュリティ企業のOnapsisは、SAP NetWeaverの脆弱性(CVE-2025-31324、CVSSスコア10/10)を悪用した二次攻撃が見られると警告しています。このゼロデイ脆弱性は2025年4月24日に公表され、SAP NetWeaverのVisual Composer開発サーバーでの認可チェックの欠如が原因です。この脆弱性は、脆弱なサーバーにマルウェアをアップロードするために利用されています。初期攻撃者が設置したウェブシェルを利用し、後続の攻撃が行われています。OnapsisとMandiantは、CVE-2025-31324の攻撃指標を検出するオープンソーススキャナーを公開しました。The Shadowserver Foundationによると、200以上のNetWeaverインスタンスがまだ脆弱ですが、脆弱なインスタンス数はピーク時の3400以上から減少しています。USサイバーセキュリティ庁CISAは、5月20日までにパッチを適用するよう促しています。
※この要約はChatGPTを使用して生成されました。
公開日: Tue, 06 May 2025 12:33:11 +0000
Original URL: https://www.securityweek.com/second-wave-of-attacks-hitting-sap-netweaver-after-zero-day-compromise/
詳細な技術情報
以下に提供された情報に基づいて、CVE-2025-31324に関する詳細を解説します。
CVE番号
- CVE-2025-31324: SAP NetWeaverのVisual Composer開発サーバーにおけるゼロデイ脆弱性。
脆弱性の仕組み
- 欠如した認可チェック: SAP NetWeaverのVisual Composer開発サーバーで、アクセス制御のチェックが不十分なため、認証されていないユーザーが特定の操作を行える。
攻撃手法
- 攻撃者はこの脆弱性を悪用して、脆弱なサーバーに任意のファイルをアップロードし、JSPウェブシェルをデプロイしました。これにより、追加のペイロードを展開したり、コードを実行したり、感染した環境内での横移動が可能になります。
- 初期アクセスブローカーが、最新のパッチを適用したシステムにも関わらず、この脆弱性を利用して実際の攻撃を行っていたことが確認されています。
潜在的な影響
- 脆弱になったSAP NetWeaverインスタンスは、攻撃者によって支配される可能性があります。これにより、企業の内部ネットワークに悪意あるソフトウェアが展開され、データの漏洩やシステム全体の操縦などの問題を引き起こす恐れがあります。
推奨される対策
- パッチの適用: SAPが提供するセキュリティパッチを迅速に適用することが重要です。
- システムのスキャン: OnapsisとMandiantが提供するオープンソースのスキャナーを使用して、脆弱性に関連する妥協指標(IoC)を特定します。特に、既知のディレクトリ内の未知のウェブ実行ファイルを検索し、将来の分析のために疑わしいファイルを収集します。
- ネットワークの監視: YARAルールを使用して、ウェブシェルへのアクセスを特定し、防御策を強化します。
- アクセス制御の強化: サーバーアクセスに関するポリシーを見直し、不正アクセスを防ぐための認証・認可のプロセスを改善します。
- CISAのガイドラインの遵守: アメリカのCISAが推奨する期限(5月20日)までにパッチを適用し、その他のセキュリティガイドラインを遵守します。
この脆弱性の状況を監視し、新たな情報やガイドラインが公開された場合には、速やかに対応を行う姿勢が求められます。
