SAP NetWeaver の脆弱性 CVE-2025-31324 が FIX：すでに悪用を観測

New Critical SAP NetWeaver Flaw Exploited to Drop Web Shell, Brute Ratel Framework

2025/04/25 TheHackerNews — SAP NetWeaver の新たな脆弱性を悪用する攻撃者が、 JSP Web シェルを展開し、不正ファイルのアップロードやコード実行を試みているようだ。2025年4月22日に ReliaQuest が公開したレポートによると、「この攻撃は、以前に開示された “脆弱性 CVE-2017-9844” もしくは “未報告のリモート・ファイル・インクルージョン (RFI) 脆弱性” の、いずれかと関連している可能性が高い」という。すでに最新のパッチが適用されたシステムの一部が影響を受けていることから、この攻撃がゼロデイ攻撃である可能性が高いと、同社は指摘している。

この脆弱性の原因は、NetWeaver 環境の “/developmentserver/metadatauploader” エンドポイントにあるとされる。それを悪用する攻撃者は、”servlet_jsp/irj/root/” パスに悪意の JSP Web シェルをアップロードし、永続的なリモート・アクセスや、追加のペイロード配信を可能にする。

この軽量な JSP Web シェルには、不正なファイルのアップロード／感染したホストに対する根深い制御の確立／リモート・コード実行／機密データの窃取などの機能が備わっている。

一部の事例では、攻撃者が Brute Ratel C4 というポスト・エクスプロイト用のフレームワークや、既知の手法である Heaven’s Gate を使用して、エンドポイント保護を回していたことが確認されている。

少なくとも１件のケースにおいては、イニシャル・アクセスを獲得してから本格的な攻撃に至るまでに、数日の時間が費やされていた。このことから推測されるのは、取得したアクセス権を地下フォーラムで販売した攻撃者の存在と、それらを IAB (Initial Access Broker) から購入した攻撃者の存在である。

ReliaQuest は、「調査により明らかになったのは、既知の脆弱性を悪用する攻撃者が、新たな技術との組み合わせで影響を最大化しようとする、懸念すべきパターンである。SAP 製品は政府機関や大手企業で広く使われており、攻撃者にとって価値の高い標的となっている」と述べている。

さらに同社は、「SAP 製品の多くはオンプレミスで運用されることが多いが、これらのシステムのセキュリティ対策は、ユーザー側に委ねられている場合が多い。そのため、ユーザーが更新やパッチを迅速に適用しない場合には、システム侵害のリスクが高まる可能性がある」と付け加えている。

偶然にも、先日に SAP がリリースした更新プログラムでは、攻撃者に任意のファイルのアップロードを許すとされる、深刻な脆弱性 CVE-2025-31324 (CVSS：10.0) が修正されたばかりである。

SAP はアドバイザリで、「NetWeaver Visual Composer の Metadata Uploader は適切な認証で保護されていないため、未認証の攻撃者に対して、悪意の実行ファイルのアップロードを許す可能性がある。それにより、ホスト・システムが甚大な損害を被る恐れがある」と詳述している。

この脆弱性 CVE-2025-31324 と、前述の “未報告 RFI の脆弱性” は、どちらも Metadata Uploader コンポーネントに影響を与えることから、同一のセキュリティ欠陥を指している可能性が高い。

この情報開示は、米国 Cybersecurity and Infrastructure Security Agency (CISA) が、NetWeaver の別の脆弱性 CVE-2017-12637 の積極的な悪用を警告してから、１ヶ月余り経って行われた。この古い脆弱性は、SAP の機密性の高いコンフィグ・ファイルの取得を、攻撃者に許す可能性があるものだ。

Update

この記事で説明した悪意の活動が、新たな脆弱性 CVE-2025-31324 を悪用したものであることを、ReliaQuest は The Hacker News に対して認めた。

同社は、「この脆弱性は、2025年4月22日に発表した調査で特定したもので、当初はリモート・ファイル・インクルージョン (RFI) の脆弱性であると推測されていた。しかし、その後に SAP は、この脆弱性を無制限のファイル・アップロードの欠陥であると分類し、許可を必要としない攻撃者が、システムへ向けて悪意のファイルを、ダイレクトにアップロードできることを明らかにした」と述べている。

この記事は、新たなゼロデイ脆弱性の悪用が確認されたことを受けて、公開後に内容が更新された。

訳していて、ちょっと錯綜ぎみだと感じる記事でしたが、アップデートにより修正された部分があるからなのかもしれません。すでに、脆弱性の悪用による、不正ファイルのアップロードやコード実行が試行されており、原因を正確に特定することが最優先となるはずなので、まずは良かったと思います。なお、脆弱性 CVE-2025-31324 も、すでに CISA KEV に登録されています。よろしければ、SAP で検索と併せて、ご参照ください。