SAP製ソフトに重大なゼロデイが、すでに攻撃も確認

サイバーセキュリティ関連の研究者が相次いでSAP NetWeaver Visual Composerで見つかった脆弱性に警笛を鳴らしている。即座に対応が必要だ。

[David Jones，Cybersecurity Dive]

　サイバーセキュリティ関連の複数の研究者によれば「SAP NetWeaver Visual Composer」で見つかった脆弱（ぜいじゃく）性は即座に対応が必要だ。すでに複数の組織への侵害が確認されている。研究者は7500台以上のSAP NetWeaverのアプリケーションサーバが危険にさらされていると警告した。

SAP製ソフトに重大なゼロデイが、すでに攻撃も確認

　サイバーセキュリティ事業を営むCensysの研究者は、2024年4月26日に次のように述べた（注1）。

　「この脆弱性は『CVE-2025-31324』として追跡されており（注2）、深刻度を示すスコアは10であって最大だ。SAP NetWeaver Visual Composerのメタデータアップローダーコンポーネントに影響を及ぼし、認証されていないファイルアップロードを引き起こす重大な脆弱性だ」

　サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は2025年4月27日に、存在が知られ悪用が確認されている脆弱性をまとめたKEVカタログにこの脆弱性を追加した（注3）。

　サイバーセキュリティ事業を営むReliaquestは2025年4月19日週にこの脆弱性を発見し（注4）、一般にアクセス可能なディレクトリに攻撃者がWebシェル（JSP）をアップロードしているのを確認した後、SAPに報告した。

　攻撃者が古い脆弱性「CVE-2017-9844（未報告のリモートファイルインクルージョンの脆弱性）」を悪用していると当初、研究者は考えていたが（注5）、最新のシステムへの攻撃を確認したことで、新しい脆弱性だと判明した。

　サイバーセキュリティ事業を営むRapid7の研究者は、遅くとも2025年3月27日から複数のユーザー環境における悪用を確認していた（注6）。同社によると、悪用されているユーザーの大半は製造業者だという。

　Rapid7のケイトリン・コンドン氏（脆弱性インテリジェンスディレクター）は次のように述べた。

　「攻撃者はSAP NetWeaverの脆弱性を利用して被害者の環境に対する初期的なアクセスを得た後、Webブシェルを設置し、さまざまな悪質なコマンドを実行する。多くの場合、Webシェルは複数設置される」

　Rapid7が観測したユーザーの多くは、10年以上前にSAP NetWeaverをインストールしており、あらゆる種類の不正プログラムに対してより脆弱な状態だという。

　SAP NetWeaverのインストールにはビジネスに不可欠なアプリケーションが含まれることが多い。企業が更新のためにシステムをオフラインにすることに消極的な理由がこれだ。

　非営利のセキュリティ研究団体The Shadowserver Foundationは2025年4月25日に、米国とインド、オーストラリアなどに、454件の脆弱なIPアドレスを報告した（注7）。

　サイバーセキュリティ事業を営むMandiantは、複数のインシデントに対応しているセキュリティ企業の一つだということを認めた。同社のCTO（最高技術責任者）チャールズ・カルマカル氏のLinkedInへの投稿によると（注8）、同社は、2025年3月中旬までさかのぼる悪用の痕跡を確認した。

　サイバーセキュリティ企業Onapsisの研究者たちは「Visual Composerはデフォルトではインストールされていないが、ビジネスアナリストがコーディング不要で業務アプリケーションのプロセスを開発するための中核コンポーネントとして、広く有効化されている」と述べた（注9、注10）。

　Onapsisの研究者たちによると、SAP NetWeaver Visual Composerのコンポーネントは少なくとも50％のJavaシステムにインストールされており、最大で70％のシステムにインストールされている可能性があるという。

　2025年4月19日週に、SAPは次のように発表した。

　「当社がこの脆弱性を最初に知ったのは2025年4月上旬であり、4月末までにパッチをリリースする予定だったが、追加の情報が明らかになったため、4月24日に緊急でパッチを発行した」

出典：Critical vulnerability in SAP NetWeaver Visual Composer leads to confirmed compromises（Cybersecurity Dive）
注1：April 28 Advisory: SAP NetWeaver Actively Exploited Unauthenticated File Upload Vuln [CVE-2025-31324]（Censys）
注2：CVE-2025-31324 Detail（NIST）
注3：CISA Adds One Known Exploited Vulnerability to Catalog（CISA）
注4：ReliaQuest Uncovers New Critical Vulnerability in SAP NetWeaver（ReliaQuest）
注5：CVE-2017-9844 Detail（NIST）
注6：Active exploitation of SAP NetWeaver Visual Composer CVE-2025-31324（Rapid7）
注7：World map（The Shadowserver Foundation）
注8：Charles Carmakal（LinkedIn）
注9：Overview of Visual Composer（SAP）
注10：SAP NetWeaver Flaw Lets Hackers Take Full Control: CVE-2025-31324 Explained（ONAPSIS）

原文へのリンク