最近、 SAP NetWeaverの脆弱性 「CVE-2025-31324」がCVSS基準で最高スコアである10.0と評価されました。この脆弱性は、無制限のファイルアップロードの脆弱性で、サーバーハイジャックとリモートコード実行(RCE)に悪用される可能性があります。すでに複数の業界において大規模な悪用事例が報告されています。今回の記事では、CVE-2025-31324のセキュリティ脅威と脆弱性に対する脅威インテリジェンス(CTI)ベースの対策についてご紹介します。
SAP NetWeaverの脆弱性 「CVE-2025-31324」
CVE-2025-31324は、SAP NetWeaverに存在する深刻な脆弱性で、認証されていない攻撃者が外部に公開されたインスタンスに任意の実行ファイルをアップロードすることで、コードの実行やシステム全体の破損を引き起こす可能性があります。特に、Visual Composerが有効になっていて、セキュリティパッチが適用されていない「VCFRAMEWORK」の7.Xバージョンで脆弱です。この脆弱性が悪用される場合、リモートコード実行攻撃に発展してサーバーにマルウェアが注入される可能性があります。また、ホストシステム全体に脅威となる可能性があるため、CVSS 10.0の高リスク評価を受けました。
攻撃者は、特別に操作されたPOSTリクエストを利用してJSPウェブシェルのような悪質なファイルをアップロードし、これを通じてシステムコマンドを実行することができます。すでに多数のグローバル企業がこの脆弱性の悪用被害を報告したと言われており、SAP NetWeaverの開発会社「SAP」は13日にパッチを発表しましたが、依然としてCVE-2025-31324に脆弱なサーバーがオンラインに公開されているため、企業は自社で運用中のSAP NetWeaverのバージョンと脆弱性の状態を確認し、迅速な措置を取る必要があります。
CTIを活用して潜在的な悪用対象を探す:外部に公開されたSAP NetWeaver
SAP NetWeaverの脆弱性「CVE-2025-31324」などに脆弱なSAP NetWeaverの製品探索にCriminal IPのようなCTIツールを活用することができます。例えば、次のようなクエリを使用すると、外部に公開されたSAP NetWeaver Application Serverを検索することができます。
Criminal IPの検索クエリ:product: sap netweaver application server
Criminal IPを用いてインターネット上に公開されたSAP NetWeaverサーバーを調査した結果、2,955台のサーバーが確認されました。その中には、それぞれ「200」のステータスコードと「401」のステータスコードを返した結果を確認することができました。SAP NetWeaverは主に企業の重要システム(HR、財務、サプライチェーンなど)に運用されるプラットフォームであるため、セキュリティが正常に設定されている場合は、次のような応答を返す必要があります。
- 401 Unauthorized:認証が必要
- 403 Forbidden:アクセス権なし
- 404 Not Found:パスが見つからない
しかし、200のステータスコードを返したということは、そのエンドポイントが認証なしで誰にでも開かれており、アップロードなどを受け入れる状態であることを意味します。特に、結果の中でSAP NetWeaverの基本ポートの一つである50000ポートが開いている結果を確認してみると、CVE-2025-31324に脆弱なバージョン「7.53」を使用していました。もしこの状態でSAP Visual Composerまで有効になっていた場合、このサーバーは明らかにSAP NetWeaverの脆弱性「CVE-2025-31324」に悪用される可能性があります。
このサーバーは、2017年から存在した脆弱性のパッチが未だに適用されていない状態で検出され、最近活発に悪用される脆弱性の潜在的なターゲットとも見られ、直ちにセキュリティ対策が必要と思われます。このように放置されたサーバーが外部に公開されていることは、認証バイパス、リモートコード実行、情報漏洩、権限上昇攻撃の脅威が高まることを示します。
SAP NetWeaverの脆弱性 「CVE-2025-31324」による悪用を防ぐ
CVE-2025-31324は認証バイパスで悪質なJSPファイルをアップロードし、リモートコード実行を可能にする致命的な脆弱性です。脆弱性の悪用被害を予防するためには、技術的なパッチだけでなく、脅威インテリジェンスと攻撃対象領域管理(ASM)を一緒に活用した多層的なセキュリティ対応戦略が要求されます。
- SAPの公式セキュリティパッチを適用する・不要な場合、Visual Composerを無効化する
- SAP Web DispatcherまたはWAF構成を通じ、認証のないPOSTリクエストのブロックを設定する
- 脅威インテリジェンスツールを活用して脆弱な状態を検知および対応する
- 攻撃対象領域管理ソリューションを活用し、サーバーの外部公開状況を継続的に監視する
FAQ(よくある質問)
Q1. CVE-2025-31324が悪用されるとどのような影響がありますか?
CVE-2025-31324が悪用された場合、攻撃者は、認証なしでSAP NetWeaver Applicationサーバーに悪意のあるJSPファイルをアップロードして実行することで、リモートでサーバーをコントロールすることができます。これにより、次のようなセキュリティ被害が発生する可能性があります。
- リモートコード実行:攻撃者がサーバーでシステムコマンドを実行できるため、マルウェア実行とサーバーの掌握が可能となる
- バックドア・ウェブシェルの設置:アップロードされたJSPファイルがウェブシェルの役をし、継続的なアクセス経路を提供し、攻撃者は後日にもシステムへ再侵入できる
- データ流出・システム情報奪取:SAPの内部データ(顧客情報、ERPデータ、人事・財務情報)を奪取できる
- 内部ネットワークへの侵入・拡散:SAPサーバーを拠点として内部ネットワークへ侵入できる(ラテラルムーブメント)
- サービス中断・運営の被害:サーバーリソースの過剰使用またはシステムファイル変更によるサービス中断の可能性あり
- 規制違反・信頼度の損傷:個人情報流出の場合、GDPR、CCPAなどの法的制裁と顧客社、パートナー、監査機関からの信頼低下
Q2. CVE-2025-31324の悪用を防ぐ方法とは?
CVE-2025-31324はサーバーハイジャックとリモートコード実行攻撃につながれる致命的な脆弱性であり、これを予防するためには、最新のセキュリティパッチだけでなく、脅威インテリジェンスと攻撃対象領域管理を組み合わせた複合的なセキュリティ体系の導入が重要です。SAPでは、公式セキュリティパッチを迅速に適用し、Visual Composerのコンポーネントが不要な場合、これを無効にする必要があり、認証なしのPOSTリクエストをブロックする設定が要求されます。また、脅威インテリジェンスツールを活用して脆弱な状態を早期に検出して対応し、ASMソリューションを通じてサーバーが外部に公開されているかどうかを継続的に監視することで、セキュリティインシデントを事前に防げます。
結論
SAP NetWeaverは企業の重要業務を担当するインフラであり、そのセキュリティ脆弱性は単純なシステム欠陥を超え、企業全体の経営リスクにつながる可能性があります。CVE-2025-31324は、認証を経ずにファイルアップロードおよびRCEが可能な致命的な脆弱性であり、すでに悪用された事例が報告されています。単にパッチを適用することにとどまらず、CTIとASMを積極的に活用し、外部公開の有無を常時点検し、攻撃の兆候を先制的に検知する多層防御戦略が必要です。
関連してCVE-2025-32433 : Erlang/OTP SSHのリモートコード実行脆弱性に関する警告をご参照ください。
データ提供:Criminal IP(https://www.criminalip.io/ja)、NIST(https://nvd.nist.gov/vuln/detail/CVE-2025-31324)、Bleeping Computer(https://www.bleepingcomputer.com/news/security/over-1-200-sap-netweaver-servers-vulnerable-to-actively-exploited-flaw/)、SC Media(https://www.scworld.com/news/sap-netweaver-bug-exploited-since-january-allows-rce)
ご参照: