SAP S/4HANA の脆弱性 CVE-2025-42957 が FIX:限定的な悪用を確認

Critical SAP S/4HANA vulnerability now exploited in attacks

2025/09/05 BleepingComputer — SAP S/4HANA の深刻なコード・インジェクション脆弱性が、公開サーバへの侵入を目的とした攻撃に悪用されていると、研究者たちが警告している。この脆弱性 CVE-2025-42957 は、SAP S/4HANA の RFC 公開機能モジュールに存在する、ABAP コード・インジェクションの問題であり、低権限の認証ユーザーであっても、任意のコードを注入して認証をバイパスし、SAP を完全に乗っ取る可能性があるという。

すでに SAP は、2025年8月11日の時点で脆弱性 CVE-2025-42957 を修正し、深刻度を CVSS スコア 9.9 (critical) と評価している。しかし、現状でも複数のシステムが、セキュリティ更新プログラムが未適用の状況にあり、これらのシステムが攻撃者の標的となっている。

SecurityBridge のレポートによると、この脆弱性は、限定的ではあるが実際に悪用されているという。この脆弱性を、2025年6月27日に発見した SecurityBridge は、SAP に対して責任を持って報告し、パッチ開発にも協力したと述べている。

しかし、影響を受けるコンポーネントが公開されており、また、修正プログラムをリバース・エンジニアリングで解析することが可能であるため、高度なスキルと知識を持つ脅威アクターであれば、エクスプロイトを独自に発見できる。

SecurityBridge のレポートには、「現時点では、広範なエクスプロイトは報告されていないが、この脆弱性が実際に悪用されたことを確認している」と記載されている。

このレポートが示唆するのは、すでに攻撃者が悪用方法を把握していることであり、未修正の SAP システムが危険に晒されていることを意味する。さらに、SAP ABAP では、ABAP コードの閲覧が自由に行われるため、パッチをリバース・エンジニアリングしてエクスプロイトを作成することは、比較的容易であると説明されている。

このセキュリティ企業が警告するのは、CVE-2025-42957 の悪用による潜在的な影響として、データ窃取/データ改ざん/コード・インジェクション/バックドア・アカウント作成による権限昇格/認証情報窃取/マルウェア/ランサムウェア等による業務妨害が挙げられることだ。

SecurityBridge は、この脆弱性を悪用することで、SAP サーバ上でシステム・コマンドを実行する方法を示す動画も作成している

2025年8月の Patch Day アップデートを適用していない SAP 管理者は、早急に適用する必要がある。

影響を受ける製品とバージョンは以下の通りである。

  • S/4HANA (プライベート・クラウド/オンプレミス):バージョン S4CORE 102/103/104/105/106/107/108
  • Landscape Transformation (分析プラットフォーム):バージョン DMIS 2011_1_700/2011_1_710/2011_1_730/2011_1_731/2011_1_752/2020
  • Business One (SLD):バージョン B1_ON_HANA 10.0/SAP-M-BO 10.0
  • NetWeaver Application Server ABAP (BIC Document):バージョン S4COREOP 104/105/106/107/108、SEM-BW 600/602/603/604/605/634/736/746/747/748

SAP 顧客アカウントを持つ者のみが、セキュリティ情報の閲覧が可能であり、そこに推奨される対策の詳細な情報が含まれるという。

BleepingComputer は、CVE-2025-42957 の悪用の状況について、SAP と SecurityBridge に問い合わせているが、現時点では回答が得られていない。

SAP S/4HANA の RFC 公開機能モジュールに存在する、ABAP コード・インジェクションの脆弱性が悪用されているとのことです。制限された権限しか持たないユーザーであっても、任意のコードを注入して認証を回避し、システムを完全に支配できる点が深刻です。すでに修正パッチは提供済みですが、未適用の環境が狙われています。特に ABAP はコードの閲覧が比較的容易なため、パッチを解析して悪用方法を見つけることも難しくないと、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、SAP で検索も、ご参照ください。