SAP

SAP は、サーバーを乗っ取るために悪用されるリモートコード実行(RCE)ゼロデイ欠陥の疑いを修正するため、帯域外の緊急 NetWeaver アップデートをリリースしました。

この脆弱性は、CVE-2025-31324で追跡され、CVSS v3 スコア:10.0 の「クリティカル(Critical)」にレーティングされており、SAP NetWeaver Visual Composer、特にメタデータアップローダーコンポーネントにおける認証されていないファイルアップロードの脆弱性です。

この脆弱性により、攻撃者はログインすることなく悪意のある実行可能ファイルをアップロードでき、リモートでコードが実行され、システムが完全に侵害される可能性があります。

ベンダーの速報は公開されていないが、ReliaQuestは今週初め、SAP NetWeaver Visual Composer、特に「/developmentserver/metadatauploader」エンドポイントに、CVE-2025-31324と一致する、積極的に悪用される脆弱性について報告した。

ReliaQuest の報告によると、SAP NetWeaver 上で不正なファイルアップロードが行われ、攻撃者が JSP ウェブシェルを一般にアクセス可能なディレクトリにアップロードすることで、複数の顧客が危険にさらされたとのことです。

これらのアップロードにより、JSP ファイルへの単純な GET リクエストを介したリモートコード実行が可能となり、ブラウザからのコマンド実行、ファイル管理アクション(アップロード/ダウンロード)などが可能となりました。

侵入後の段階では、攻撃者は「Brute Ratel」レッドチームツール、「Heaven’s Gate」セキュリティ回避テクニックを展開し、ステルスのためにMSBuildでコンパイルされたコードをdllhost.exeに注入しました。

ReliaQuest社は報告書の中で、悪用には認証が必要なく、侵害されたシステムには完全にパッチが適用されていたことから、ゼロデイ・エクスプロイトの標的であったと指摘している。

セキュリティ企業のwatchTowrも、CVE-2025-31324に関連する悪用が活発に行われていることを確認している。

「未認証の攻撃者は、組み込みの機能を悪用してSAP NetWeaverインスタンスに任意のファイルをアップロードすることが可能であり、これは完全なリモートコード実行とシステムの全面的な侵害を意味します。

「watchTowrは、この脆弱性を利用して、Webシェルバックドアを露出したシステムにドロップし、さらなるアクセスを獲得している脅威行為者による積極的な悪用を目の当たりにしています。

“この野放し状態での活発な悪用と広範な影響により、近いうちに複数の当事者による悪用が多発する可能性が非常に高くなっている”

この活発な悪用についてSAPに問い合わせたが、現時点では回答は得られていない。

今すぐ攻撃から守る

この脆弱性は、Visual Composer Framework 7.50に影響を与えるものであり、最新のパッチを適用することが推奨されています。

この緊急セキュリティアップデートは、SAPの通常の「2025年4月」アップデートの後に提供されたため、今月初めにそのアップデート(2025年4月8日リリース)を適用した場合は、まだCVE-2025-31324の脆弱性が残っています。

さらに、この緊急アップデートには、CVE-2025-27429(SAP S/4HANAのコードインジェクション)とCVE-2025-31330(SAP Landscape Transformationのコードインジェクション)という、さらに2つの重大な脆弱性の修正が含まれている。

CVE-2025-31324に対応するアップデートを適用できない場合は、以下の緩和策を実施することを推奨します:

  1. developmentserver/metadatauploaderエンドポイントへのアクセスを制限する。
  2. Visual Composer を使用していない場合は、完全にオフにする。
  3. ログをSIEMに転送し、サーブレットパスに不正なファイルがないかスキャンする。

ReliaQuestでは、緩和策を適用する前にディープ環境スキャンを実行し、疑わしいファイルを特定して削除することを推奨しています。

更新 4/25– SAPの広報担当者は、CVE-2025-31324が実際の攻撃で悪用されたことについて、声明で反論しています。

「SAPは、SAP NETWEAVER Visual Composerの脆弱性を認識しており、特定のJavaサーブレットにおいて認証されていない不正なコード実行を許している可能性があります。

「SAPは、SAPの顧客データやシステムがこれらの脆弱性によって影響を受けたとは認識していません。2025年4月8日に回避策が発表され、現在パッチが利用可能です。顧客は直ちにパッチを適用することを推奨する。”

一方、サイバーセキュリティ企業Onapsisも、活発な悪用を観測したとレポートを発表した。