Second Wave of Attacks Hitting SAP NetWeaver After Zero-Day Compromise
2025/05/06 SecurityWeek — SAP NetWeaver インスタンスに存在する、ゼロデイ脆弱性を悪用する脅威アクターたちが、第二波の攻撃を開始していると、エンタープライズ・アプリケーション・セキュリティ Onapsis が警告している。このゼロデイ脆弱性 CVE-2025-31324 (CVSS:10.0) は、2025年4月の Security Patch Day の速報を SAP が更新し、この脆弱性に対処する新たな注記を追加した後の、4月24日に公開されたものだ。
その一方で、サイバー・セキュリティ企業 ReliaQuest は、最新のパッチがインストールされ、IAB (initial access broker) に関連付けられたシステムで、この脆弱性の悪用が確認されたと述べている。また、Mandiant によると、この脆弱性は、遅くとも 2025年3月中旬から悪用されていたという。
SAP は、このセキュリティ欠陥を、NetWeaver の Visual Composer 開発サーバにおける、認証チェックの不備だと説明している。この脆弱性が悪用され、脆弱なサーバ上の特定のパスに、悪意のファイルがアップロードされたことを、同社は確認している。
脆弱な NetWeaver インスタンスを標とする脅威アクターは、root ディレクトリに JSP Web シェルを展開することで、追加のペイロードの展開/コード実行を達成し、影響を受けた環境での水平展開も可能にしている。
5月5日 (月) に Onapsis は「脆弱なシステム上で、第一波のゼロデイ攻撃で確立された Web シェルを悪用する、第二波の攻撃が発生している。後続の機会を狙った、脅威アクターによるものだ」と警告している。
5月2日 (金) に Onapsis と Mandiant は共同で、オープンソースのスキャナーをリリースし、CVE-2025-31324 の悪用に関連する、侵害の兆候 (IoC) の検出を推進している。
このツールは、脆弱なシステムを特定し、IoC を見つけ出すものだ。具体的に言うと、既知のディレクトリに保存される、未知の Web 実行ファイルを検索し、今後の分析のために疑わしいファイルを収集するものだ。
広範囲にわたるエクスプロイトの一環として展開された、Web シェルが特定されたことを受け、5月5日に Onapsis は、先週に公開した YARA ルールを更新し、Web シェルへのアクセスを、ユーザー組織が特定できるようにした。
非営利のサイバー・セキュリティ組織 Shadowserver Foundation のデータによると、インターネットからアクセス可能な 200台以上の NetWeaver インスタンスが、依然として脆弱性 CVE-2025-31324 を抱えているという。脆弱性を抱えるサーバーの数は、4月28日時点では400台以上だったが、その数は半減している。
米国のサイバーセキュリティ機関 CISA は、4月29日の時点で CVE-2025-31324 をKEV カタログに追加し、連邦政府機関に対して、5月20日までにパッチを適用するよう求めている。
先月末に報じられたばかりの SAP NetWeaver の脆弱性 CVE-2025-31324 ですが、早くも第二波の攻撃が観測されたとのことです。該当の SAP NetWeaver をご利用のチームは、十分にご注意ください。よろしければ、以下の関連記事も、SAP で検索と併せて、ご参照ください。
2025/04/30:NetWeaver の CVE-2025-31324 が KEV に登録
2025/04/25:NetWeaver の CVE-2025-31324:悪用を観測
IoT OT Security News 
You must be logged in to post a comment.