CISA Adds SAP NetWeaver Zero-Day CVE-2025-31324 to KEV Database
2025/04/30 SecurityOnline — SAP NetWeaver の深刻なセキュリティ脆弱性が積極的に悪用され、世界中の組織に重大な脅威をもたらしている。Cybersecurity and Infrastructure Security Agency (CISA) は、この脆弱性を Known Exploited Vulnerabilities (KEV) カタログに追加し、迅速な対応の必要性を強調している。
この脆弱性 CVE-2025-31324 (CVSS:10.0) は、SAP NetWeaver Visual Composer の Metadata Uploader コンポーネントにおける、ファイル・アップロードの制限に関するものだ。この脆弱性を悪用する攻撃者は、認証を必要とせずに悪意の実行ファイルをアップロードし、リモートコード実行などを達成し、影響を受けるシステムの完全な侵害を引き起こす可能性を手にする。
ReliaQuest のセキュリティ研究者が、この脆弱性が実際に悪用されていることを報告している。攻撃者たちは “/developmentserver/metadatauploader” エンドポイントを悪用し、JSP Webshell を公開ディレクトリにアップロードしている。それにより、ブラウザからのコマンド実行やファイル管理などの、悪意のアクションの実行を可能にするという。
特定の攻撃のケースでは、高度なポスト・エクスプロイトのためのツールや手法を、攻撃者が展開していることが確認されている。具体的に言うと、Brute Ratel レッドチーム・ツールや、セキュリティ・バイパス手法である Heaven’s Gate、ステルス化のための MSBuild コンパイル・コードが dllhost.exe に挿入される手法などがあるという。
報告によると、悪用されているのはゼロデイ脆弱性であるという。つまり、パッチが提供される前に悪用され、その後のパッチ適用の前に、システムは侵害されていたという。さらに、数多くの SAP NetWeaver サーバがインターネットに公開されているため、大きな攻撃対象領域が形成されているという。Shadowserver Foundation が特定したのは 427 台の公開サーバであり、深刻な影響が生じる可能性が浮き彫りにされている。それらの脆弱なシステムは世界中に存在するが、米国に集中しているという。
すでに SAP は、アウトオブバンド緊急アップデートをリリースし、この重大なリスクに対処している。ユーザーに推奨されるのは、ベンダーの指示に従って、アップデートを適用することだ。
なお、速やかにパッチを適用できない組織は、以下の緩和策を実施してほしい:
- エンドポイント “/developmentserver/metadatauploader” へのアクセスを制限する。
- Visual Composer を使用していない場合は無効化する。
- ログを Security Information and Event Management (SIEM) システムに転送し、対象となるサーブレット・パス内の不正なファイルをスキャンする。
CVE-2025-31324 のためのスキャン・ツールも提供されているため、環境内の脆弱なシステムを特定するのに役立つ。
なお、連邦民政局 (FCEB) 機関に対しては、2025年5月20日までに、SAP NetWeaver に必要なパッチを適用することが指示されている。
SAP NetWeaver のゼロデイ脆弱性 CVE-2025-31324 が、CISA KEV に登録されました。ご利用のチームは、アップデートをお急ぎください。また、この脆弱性の第一報は、2025/04/25 の「SAP NetWeaver の脆弱性 CVE-2025-31324 が FIX:すでに悪用を観測」となります。よろしければ、CISA KEV ページと併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.