CVE-2025-31324 脆弱性
セキュリティ研究者は、Chaya_004と呼ばれる中国系の脅威アクターが、CVE-2025-31324として特定されたSAP NetWeaverの重大な脆弱性を悪用したと指摘しています。CVSSスコア10.0という最高のスコアを持つこの脆弱性により、攻撃者は脆弱な/developmentserver/metadatauploaderエンドポイントを介して脅威となるWebシェルをアップロードすることで、リモートコード実行(RCE)を仕掛けることができます。
この脆弱性が初めて注目を集めたのは2025年4月下旬、情報セキュリティチームがこの脆弱性が実際に悪用されていることを突き止めた時でした。攻撃者はこの脆弱性を利用して、WebシェルやBrute Ratel C4などのエクスプロイト後ツールを展開しています。
目次
フォールアウト:標的の産業
2025年3月以降、この脆弱性は様々な業界や地域で広く悪用されています。最初の悪用は3月12日頃に発生したと考えられており、3月14日から3月31日の間に侵入が確認されています。
侵害を受けたセクターは次のとおりです。
- エネルギーと公益事業
- 製造業
- メディアとエンターテインメント
- 石油とガス
- 医薬品
- 小売業および政府機関
これらの広範囲にわたる攻撃は、数百の SAP システムに影響を与える可能性のある世界規模のキャンペーンを示しています。
有害なインフラの内部
脅威アクターChaya_004はこれらのキャンペーンの最前線に立っており、IPアドレス47.97.42[.]177でSuperShellと呼ばれるWebベースのリバースシェルをホストしています。このインフラストラクチャには、他にも疑わしい要素がいくつか存在しています。
- ポート3232/HTTP、Cloudflareを模倣した自己署名証明書を提供
- 中国のクラウドプロバイダーを通じてホストされる複数の中国語ツールとサービス
このグループに関連するマルウェア ツールには次のものがあります。
- NPS(ネットワークポリシーサーバー) :このツールは、ネットワークアクセスポリシーの管理によく使用されます。攻撃者はこれを悪用してネットワークトラフィックを操作し、不正アクセスを可能にしたり、通信を妨害したりする可能性があります。
この洗練されたツールキットと中国のインフラストラクチャの使用は、脅威の攻撃者が中国から活動していることを強く示唆しています。
先手を打つ:継続的な悪用に対する防御戦略
セキュリティパッチはリリースされているものの、パッチ適用後も悪質な活動は依然として続いており、過去に導入されたWebシェルが、便乗型攻撃者から高度なスキルを持つ攻撃者まで、幅広い種類の攻撃者によって再利用・拡張されていることが示唆されています。このように進化する脅威環境において、組織は包括的な修復対策を実施する必要があります。具体的には、公式SAPアップデートの迅速な適用、脆弱なエンドポイントへのアクセスの慎重な制限、Visual Composerなどの不要なサービスの無効化などが含まれます。
さらに、異常な動作に対するシステムとログの継続的な監視を通じて、警戒を強め続けることも不可欠です。これらの防御策は、さらなる侵害の可能性を抑制し、SAPインフラストラクチャの運用の整合性を守るために不可欠です。
