SAP NetWeaverに最大深刻度の脆弱性発見 – Webシェルを通じた不正アクセスの危険性

2025年4月26日7:28

サイバーセキュリティニュース

SAP NetWeaverに最大深刻度の脆弱性発見 - Webシェルを通じた不正アクセスの危険性 - innovaTopia - （イノベトピア）

Last Updated on 2025-04-26 07:28 by admin

サイバーセキュリティ企業ReliaQuestは2025年4月22日、SAP NetWeaverに新たな重大な脆弱性（CVE-2025-31324）を発見したと報告した。この脆弱性はSAP NetWeaver Visual Composer Metadata Uploaderコンポーネントに存在し、適切な認証保護がないため、未認証の攻撃者が悪意のある実行可能ファイルをアップロードできる問題である。

脆弱性のCVSSスコアは最大値の10.0で、攻撃者はこの脆弱性を悪用してJSP Webシェルをアップロードし、不正なファイルのアップロード、感染したホストの制御、リモートコード実行、機密データの抽出を行うことが可能となる。

ReliaQuestの調査によると、一部の攻撃では「Brute Ratel C4」ポストエクスプロイテーションフレームワークや「Heaven’s Gate」と呼ばれるエンドポイント保護バイパス技術が使用されていた。また、少なくとも1件のケースでは、攻撃者が初期アクセスの成功から後続の攻撃に進むまでに数日を要しており、「初期アクセスブローカー（IAB）」が関与している可能性が指摘されている。

SAPは4月24日に脆弱性を正式に認め、CVE-2025-31324として追跡するとともに、修正パッチをリリースした。この脆弱性は当初、リモートファイルインクルージョン（RFI）の問題と疑われていたが、後に無制限のファイルアップロード脆弱性として確認された。

エンタープライズアプリケーションセキュリティ企業Onapsisによると、この脆弱性により1万以上のインターネット接続されたSAPアプリケーションがサイバー攻撃にさらされる可能性があるという。SAPソリューションは政府機関や企業で広く使用されており、攻撃者にとって高価値のターゲットとなっている。

この脆弱性の開示は、米国サイバーセキュリティ・インフラセキュリティ庁（CISA）が別の高深刻度NetWeaver脆弱性（CVE-2017-12637）の積極的な悪用について警告してから約1ヶ月後に行われた。

from:New Critical SAP NetWeaver Flaw Exploited to Drop Web Shell, Brute Ratel Framework

【編集部解説】

SAPの重大な脆弱性「CVE-2025-31324」は、企業システムの中核を担うNetWeaverプラットフォームに存在する深刻な問題です。この脆弱性の特徴は、認証なしで攻撃者が悪意のあるファイルをアップロードできる点にあります。CVSSスコア10.0という最高評価からも、その危険性が伺えます。

複数のセキュリティ企業の報告を総合すると、この脆弱性はすでに「ゼロデイ攻撃」として悪用されていることが確認されています。ReliaQuestが4月22日に最初に報告し、その後SAPが4月24日に公式に認めた経緯があります。

特に注目すべきは、Onapsisの報告によると、この脆弱性の影響を受ける可能性のあるインターネット接続されたSAPアプリケーションが1万以上存在するという点です。これは非常に広範囲にわたる影響を示しています。

攻撃の手法としては、NetWeaverの「/developmentserver/metadatauploader」エンドポイントを悪用し、JSPベースのWebシェルをアップロードするというものです。このWebシェルを通じて、攻撃者はシステムへの永続的なアクセスを確立し、さらなる攻撃を展開できます。

特筆すべきは、攻撃者が「Brute Ratel C4」というポストエクスプロイテーションフレームワークと「Heaven’s Gate」というセキュリティバイパス技術を組み合わせて使用している点です。これは高度な攻撃者の関与を示唆しています。

また、ReliaQuestの調査では「初期アクセスブローカー（IAB）」の関与が示唆されています。IABはシステムへの侵入経路を確立し、その後アクセス権を他の攻撃グループに販売するビジネスモデルを持っています。つまり、一度侵害されたシステムが複数の攻撃者に悪用される可能性があるのです。

SAPシステムは多くの大企業や政府機関の基幹システムとして利用されており、財務データや機密情報を扱うことが多いため、攻撃者にとって非常に魅力的なターゲットとなっています。特にオンプレミス環境では、セキュリティ対策がユーザー側に委ねられているため、パッチ適用の遅れが深刻なリスクとなります。

この脆弱性の特徴として、Visual Composerのメタデータアップローダーコンポーネントはデフォルトでは有効になっていないという点があります。Onapsisによれば、そのため影響を受けるシステムの正確な数はまだ調査中とのことです。しかし、このコンポーネントを使用している組織は早急なパッチ適用が必要です。

今回の事例は、エンタープライズソフトウェアにおけるセキュリティの重要性を改めて示すものです。特に基幹システムでは、脆弱性の影響が企業全体に波及する可能性があり、ビジネス継続性にも直結します。

日本企業においても、SAPは製造業や金融業を中心に広く導入されています。今回の脆弱性が日本企業に与える影響も決して小さくないでしょう。特に海外拠点とのシステム連携がある場合、グローバルなセキュリティ対応が求められます。

企業のIT担当者は、SAPが提供する最新のパッチを早急に適用するとともに、不審なアクセスやファイルの監視を強化することが重要です。また、この機会にSAPシステム全体のセキュリティ体制を見直すことも検討すべきでしょう。

テクノロジーの進化とともに、攻撃手法も高度化しています。今回のような高度な攻撃に対応するためには、単なるパッチ適用だけでなく、多層防御の考え方に基づいたセキュリティ対策が不可欠です。

【用語解説】

SAP NetWeaver:
SAPの基幹システムを構築するためのプラットフォーム。様々なアプリケーションを統合するための基盤技術として機能する。

CVE (Common Vulnerabilities and Exposures):
公開されたセキュリティ上の脆弱性に付与される識別番号。

CVSS (Common Vulnerability Scoring System):
脆弱性の深刻度を数値化する評価システム。0〜10の範囲で評価され、10が最も危険。

Webシェル:
サーバーに不正にアップロードされた悪意のあるWebページで、攻撃者がサーバーを遠隔操作するためのツール。

Brute Ratel C4:
ペンテスト（侵入テスト）用に開発されたツールだが、サイバー攻撃にも悪用される高度なポストエクスプロイテーションフレームワーク。正規のセキュリティ対策をバイパスする機能を持つ。

Heaven’s Gate:
32ビットプロセスから64ビットコードを実行するテクニック。セキュリティソフトやデバッガの検知を回避するために使用される。

初期アクセスブローカー (IAB):
企業や組織のシステムへの不正アクセス権を取得し、それを他のサイバー犯罪者に販売する仲介業者。

メタデータアップローダー:
SAP NetWeaverのコンポーネントで、システム設定やデータ構造に関する情報をアップロードするための機能。今回の脆弱性はこの部分に存在している。

【参考リンク】

SAP公式ウェブサイト（外部）
ドイツに本社を置く世界最大級のエンタープライズソフトウェア企業のサイト

ReliaQuest（外部）
今回の脆弱性を最初に発見・報告したセキュリティ企業のウェブサイト

米国サイバーセキュリティ・インフラセキュリティ庁（CISA）（外部）
米国政府のサイバーセキュリティを担当する機関の公式サイト

Onapsis（外部）
SAPやOracleなどのビジネスクリティカルアプリケーション専門のセキュリティ企業

【編集部後記】

皆さんの組織ではSAPシステムのセキュリティ対策はどのように進められていますか？今回の脆弱性のようなゼロデイ攻撃に対して、パッチ適用だけでなく、不審なアクセスを検知する仕組みや多層防御の体制構築も重要になってきます。基幹システムのセキュリティは「誰かに任せておけば安心」という時代ではなくなっています。皆さんの組織での取り組みや課題について、ぜひSNSでシェアしていただければ幸いです。共に学び、より強固なセキュリティ体制を考えていきましょう。