エクスプロイト&脆弱性
重大なSAPの脆弱性が企業を危険にさらす
CVE-2025-31324:SAP NetWeaver Visual Composerの未認証ファイルアップロードの脆弱性により、リモートコード実行やデータ損失のリスクが発生。対策方法を確認してください。
概要
2025年4月、SAP NetWeaver Visual Composerに関する重大な脆弱性(CVE-2025-31324)が公開されました。既にCISAのKEV(Known Exploited Vulnerabilities)カタログにも追加されており、攻撃における悪用が確認されています。
SAPの主要製品は企業の資源計画(ERP)に関わるものであり、様々な業務プロセスを管理統合するシステムです。多くの組織にとって業務の中核を担う存在であるため、SAPの脆弱性は事業継続性やデータの完全性に対して重大なリスクとなります。SAP NetWeaver Visual Composerは、ビジネスアプリケーションの構築に広く使用されていますが、今回の脆弱性により、認証なしでファイルをアップロードできてしまう問題が明らかになりました。攻撃者が悪意のあるスクリプトや実行ファイルをサーバにアップロードできる可能性があり、その結果、リモートでのコード実行、データの流出、企業ネットワーク内での横展開(ラテラルムーブメント)などが引き起こされる恐れがあります。
技術的な詳細
CVE-2025-31324は、SAP NetWeaver Visual Composerにおけるファイルアップロードの検証不備に起因する脆弱性です。この脆弱性を悪用することで、攻撃者はウェブシェルや実行ファイルなどの不正なファイルを、ファイルの種類や内容に制限されることなくアップロードすることができます。アップロードされたファイルはリモートから実行可能であり、その結果として攻撃者は認証なしにシステムへ不正アクセスを行うことが可能になります。
この脆弱性が特に危険である理由は以下のとおりです。
- 認証なしでリモートから悪用可能であること
- 特権昇格や横展開など、さらなる攻撃の足がかりとなること
- 機密性の高い業務ロジックやデータを扱うプラットフォームが標的であること
- 重要なビジネスプロセスの中断
- 企業や顧客の機密情報が含まれるデータ漏えい
- 法令違反による罰則や企業イメージの毀損
- 外部からアクセス可能なアップロード用エンドポイントのスキャン
- パッチが未適用のSAP NetWeaverコンポーネントの特定
- 制限のないファイルアップロードを許可する危険な設定の可視化
SAP ScannerはDevSecOpsパイプラインに統合することも、定期的にスキャンを実行することも可能です。これにより、CVE-2025-31324のような脆弱性を攻撃者に悪用される前に発見し、対策を講じることができます。
Trend Vision One™ プラットフォーム
Trend Vision One™ プラットフォームは、エンドポイント、サーバ、クラウドワークロード、ネットワーク全体にわたるXDR(拡張型検出と対応)およびサイバーリスク露出の管理機能を提供します。CVE-2025-31324のような脆弱性に対しては、以下の対策を提供しています。
- 仮想パッチ:公式なSAPのパッチが提供される前でも、Trend Microは仮想パッチを適用し、攻撃の試行をブロックできます。
- Deep Security / Server & Workload ProtectionによるIPSルール
- ルール 1012351 - SAP NetWeaver Visual Composer 無制限ファイルアップロードの脆弱性(CVE-2025-31324)
- TippingPointフィルターによるIPSルール
- フィルター 45805 - HTTP: Trojan.Shell.PhanlodLogger.A 実行時検出
- フィルター 41642 - HTTP: Generic JSP コマンド実行Webシェルのペイロードを検出
- ふるまい検出:Trend Vision Oneは、SAPサーバ上での予期しないファイルアップロードやコマンド実行といった不審な挙動を相関的に分析し、アラートを発します。
- 脅威インテリジェンス連携:CVE-2025-31324に関連するインジケーター(IOC)をリアルタイムで更新し、環境全体でその識別とブロックを可能にします。
まとめ
CVE-2025-31324は、SAPのような業務上重要なアプリケーションにおいて、脆弱性管理を能動的に行うことの重要性を改めて示すものです。Trend MicroのSAP ScannerおよびTrend Vision Oneプラットフォームを活用することで、新たな脅威への先手対応、リスクの低減、そして事業継続性の確保が可能になります。
参考記事:
Critical SAP Vulnerability Exposes Enterprises
By: Dereus Caldwell
翻訳:与那城 務(Platform Marketing, Trend Micro™ Research)