SAP NetWeaver のゼロデイ CVE-2025–31324 を悪用:高度な RCE スクリプトの詳細が公開

Technical Details of SAP 0-Day Exploitation Script Used to Achieve RCE Disclosed

2025/08/19 CyberSecurityNews — SAP システムを標的とする、高度なゼロデイ攻撃スクリプトが公開された。このスクリプトは、世界中の企業環境に深刻なリスクをもたらす、リモート・コード実行機能を備えるものだ。この悪意のペイロードは、特に SAP NetWeaver Application Server の脆弱性 CVE-2025–31324 を標的とし、ICM (Internet Communication Manager) コンポーネントの欠陥を突き、不正なシステム・アクセスを確立する。

セキュリティ研究者たちが懸念するのは、この脅威が既存のセキュリティ制御を回避し、重要なビジネス・システムへの永続的アクセスを実現できる点である。

この攻撃スクリプトが示すのは、SAP を標的とした攻撃の新たな進化であり、ABAP ランタイム環境の未知の脆弱性を悪用して、リモートからの任意のコード実行を可能にする。

このマルウェアの初期分析では、ABAP プログラム内の動的なコード連結メカニズムの悪用が示されている。それは、正規の SAP 開発手法に似ているが、悪意の目的で武器化されている。

この攻撃ベクターは、主として Web インターフェイスが公開されているシステムを標的としているため、インターネット接続された SAP システムは侵害に対して脆弱になる。

Detect FYI のアナリストたちが見つけ出したのは、複数の企業環境での異常なネットワーク・パターンであり、疑わしい ABAP コード実行を観測した後に、このエクスプロイト・フレームワークを特定した。

さらに、このマルウェアは高度な回避技術を備えており、実行シグネチャを動的に変更し、正規の SAP プロセスと統合する機能を持つと、研究者たちは指摘している。

SAP システムは、世界中で 広く導入されていることから、この発見と特定により、サイバー・セキュリティ・コミュニティに大きな懸念が生じている。

エクスプロイト・メカニズム

このエクスプロイト・メカニズムは、SAP 環境内でのコード実行のアプローチにおける、高度な技術を示している。

Attack Flow created with SOC Prime with a CTI summary (Source – Medium)

この悪意のスクリプトは、SAP Web Dispatcher を介してNetWeaver Application Server アーキテクチャ内の特定のエンドポイントへ向けて、巧妙に作成された HTTP リクエストを送信することで、攻撃を開始する。

これらのリクエストには、ICM コンポーネントのバッファ・オーバーフロー脆弱性を悪用する、エンコード済みのペイロードが取り込まれており、それにより攻撃者は、システムメモリ空間での最初の足掛かりを確立する。

最初のエクスプロイトが成功すると、マルウェアは ABAP プログラムを変更して永続性を確立する、第二弾のペイロードを展開する。

このペイロードは、既存のビジネス・ロジックに統合される ABAP コード・セグメントを動的に生成するため、従来のセキュリティ監視ツールでは検出が困難である。具体的には、オープンな SQL インジェクション手法を利用してデータベース・クエリを操作し、データ窃取などのシステム侵害を可能にする。

研究者たちのコード分析により判明したのは、正規の ABAP 開発パターンに類似する、動的な文字列の連結手法が悪用されていることだ。ただし、それは、SAP データベース・スキーマ内で、不正コマンドを実行するよう特別に作成されたものである。

それに加えて、この永続化メカニズムは、日常のシステム操作中に実行される隠し ABAP プログラムを作成することで、システム再起動やセキュリティ・パッチ適用の後でも、継続的なアクセスを可能にする。

これらのプログラムは、正規のビジネス・ロジックを装いながら、バックドア機能を維持するものであり、SAP を標的とするマルウェアの大きな進歩を示している。

このエクスプロイト・スクリプトは、検出を回避しながら SAP コア機能を変更できるため、エンタープライズ SAP 環境における、ABAP コード実行およびデータベース・クエリ・パターンへの監視の強化が、きわめて重要となる。

NetWeaver の ICM (Internet Communication Manager) コンポーネントに存在する、ゼロデイ脆弱性 CVE-2025-31324 を狙う、攻撃スクリプトが公開されたようです。脆弱性の原因は、ABAP の動的コード連結といった仕組みが悪用できる点にあり、本来は正規の開発で使われる仕組みが、攻撃者による不正コマンド実行やバックドア作成に転用されると、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、SAP NetWeaver で検索も、ご参照ください。