SAPは、同社製品「SAP NetWeaver」に存在する新たなゼロデイ脆弱性(CVE-2025-42999)について、セキュリティパッチをリリースしたことを2025年5月13日に発表しました。
今回の脆弱性は、4月に修正された未認証ファイルアップロード脆弱性(CVE-2025-31324)に関連する調査中に発見されたものです。
相次ぐSAP NetWeaverのゼロデイ攻撃
SAPは、今回の発表に際し「SAP NetWeaver Visual Composerに関連する脆弱性を認識し、対応している」とコメントしており、対象ユーザーに対して速やかなパッチ適用を強く呼びかけています。
今回修正された脆弱性に関するセキュリティノートは「3594142」と「3604119」で公開されています。
最初にCVE-2025-31324がゼロデイ攻撃に利用されていることを検出したのは、サイバーセキュリティ企業ReliaQuestです。彼らの調査によると、攻撃者はSAP NetWeaverサーバに不正にファイルをアップロードし、JSPウェブシェルやBrute Ratel(レッドチームツール)を設置していました。
この悪質な活動は、watchTowrやOnapsisといった他のセキュリティ企業によっても確認されており、
一部攻撃については、中国系の脅威グループ(Chaya_004)との関連も指摘されています。
新たに判明したCVE-2025-42999とは?
新たに修正された脆弱性(CVE-2025-42999)は、安全でないデシリアライゼーションに起因するもので、VisualComposerUser権限を持つユーザーによって悪用される可能性があります。
Onapsis社CTOのJuan Pablo Perez-Etchegoyen氏によれば、攻撃者はCVE-2025-31324とCVE-2025-42999を組み合わせて利用し、
認証なしにリモートでコマンド実行を行うことができたとのことです。
特に、1月から3月にかけて行われた攻撃では、両方の脆弱性を連携させて被害が拡大していたことが明らかになりました。
被害規模と現状
Shadowserver Foundationの最新調査によれば、インターネット上には2,040台以上のSAP NetWeaverサーバが依然として脆弱な状態で公開されています。
4月時点では、Fortune 500/Global 500企業のうち20社以上が脆弱であり、そのうち474台以上のシステムが既に侵害されていたことも報告されています。
SAP利用者への推奨対応
SAP NetWeaverを運用している管理者に対しては、次の対応が強く推奨されています。
-
速やかなセキュリティパッチの適用(SAPノート3594142および3604119)
-
Visual Composerサービスの無効化(可能であれば)
-
メタデータアップローダーサービスへのアクセス制限
-
サーバ上での不審な活動の監視
また、米国CISA(Cybersecurity and Infrastructure Security Agency)は、CVE-2025-31324について既知の悪用脆弱性カタログに追加しており、
連邦機関に対して5月20日までに対応を完了するよう指示を出しています。
参照







