SAP 0-Day Exploit Reportedly Leaked by ShinyHunters Hackers
2025/08/19 gbhackers — SAP の深刻な脆弱性に対する、悪名高いハッカー集団 ShinyHunters による攻侵の状況が明らかにされた。それにより、企業の SAP 環境における脅威状況は著しく悪化している。この複数のゼロデイ脆弱性を連鎖的に利用するエクスプロイトが、Telegram の Scattered LAPSUS$ Hunters – ShinyHunters チャネルを介して漏洩したことが、その後の 2025年8月15日に VX Underground により明らかにされた。
エクスプロイトの詳細
この武器化されたエクスプロイトは、主に SAP NetWeaver Visual Composer の深刻な脆弱性 CVE-2025-31324 (CVSS:10.0) を標的とするものだ。この脆弱性を悪用する未認証の攻撃者は、標的の SAP システム上で任意のコマンド実行を達成し、システム全体の侵害を引き起こす可能性を手にする。
| CVE ID | CVSS Score | Component | Patch Status | SAP Security Note |
| CVE-2025-31324 | 10.0 | SAP NetWeaver Visual Composer | Patched April 2025 | 3594142 |
このエクスプロイトは、上記の脆弱性 CVE-2025-31324 と、別の脆弱性を巧妙に連鎖させている。つまり、デシリアライゼーションの脆弱性 CVE-2025-42999 の悪用により、標的システムにアーティファクトを展開しない、Live off the land (環境寄生型) 攻撃を可能にしている。
この攻撃ベクターは、特定のカスタム SAP クラスである “com.sap.sdo.api.*” や “com.sap.sdo.impl.*” などを、エクスプロイト・ペイロードに組み込むものであり、SAP アーキテクチャに関する高度な知識を示している。
このエクスプロイト・コードは、SAP NetWeaver のバージョンに基づいて動的に調整される。したがって、この攻撃者は、プラットフォームの内部構造を深く理解していると推測される。
これらの脆弱性のいくつかを、最初に発見して報告してきた Onapsis のセキュリティ研究者たちが強調するのは、新規の脆弱性が悪用されているわけではないが、実際に動作するエクスプロイト・コードが公開されたことで、広範な攻撃リスクが大幅に高まったことだ。
2025年7月にも、SAP に新たな脆弱性が発見されており、このエクスプロイトで武器化されたデシリアライゼーション・ガジェット・コンポーネントが、それらに対して再利用される可能性が懸念される。
SAP システムを運用しているユーザー組織に対して強く推奨されるのは、すべてのセキュリティ・ノートに基づくパッチ適用状況を直ちに確認し、不審なアクティビティに対する監視を強化することだ。
このエクスプロイトの高度さと、ShinyHunters のような既知の脅威アクターの関与が浮き彫りにするのは、SAP セキュリティ・パッチを最新状態に維持し、包括的な監視ソリューションを実施することの重要性である。
公開されたエクスプロイトは、SAP 環境における脅威を、さらに深刻化させている。セキュリティ専門家たちが予測するのは、攻撃試行の増加である。
ShinyHunters による、SAP 環境への攻撃が活性化しているようです。原因として大きいのは、SAP NetWeaver Visual Composer に存在する CVE-2025-31324 というリモート・コード実行の欠陥の悪用です。それに加えて、デシリアライゼーション脆弱性 CVE-2025-42999 を連鎖させることで、痕跡を残すことなく、不正なコードが実行されると、この記事は指摘しています。ご利用のチームはご注意ください。よろしければ、SAP NetWeaver で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.