SAP NetWeaverのゼロデイ脆弱性（CVE-2025-31324）が悪用、CISAがKEVデータベースに追加

2025年4月30日、米国サイバーセキュリティ・インフラセキュリティ庁（CISA）は、SAP NetWeaverにおける深刻なゼロデイ脆弱性「CVE-2025-31324」をKnown Exploited Vulnerabilities（KEV）カタログに追加しました。現在、実際にゼロデイ攻撃が確認されており、対策が急務です。

脆弱性の概要

CVE-2025-31324は、SAP NetWeaverに含まれるVisual Composerコンポーネントの「Metadata Uploader」機能に存在する、認証不要のファイルアップロードに関する脆弱性です。この脆弱性により、攻撃者は事前の認証を必要とせずに、任意のファイルをアップロードすることが可能となります。特に悪意あるJSP形式のWebシェルをサーバ上に配置されると、ブラウザ経由でコマンドを実行したり、システム内部のファイルを操作したりといったリモートコード実行（RCE）が実現され、システム全体の制御を奪われる可能性があります。

この脆弱性には、CVSS（共通脆弱性評価システム）において最大スコアである10.0が付与されており、影響度は極めて深刻です。

また、既に実際の攻撃に利用されていることが確認されており、CISA（米国サイバーセキュリティ・インフラセキュリティ庁）の「Known Exploited Vulnerabilities（既知の悪用された脆弱性）」カタログにも追加されたことから、早急な対応が強く求められています。

推奨される対応策

SAPはこの脆弱性に対して、緊急のパッチ（Out-of-Band）をリリースしています。対象となる組織は、可能な限り速やかに以下の対応を取る必要があります。

優先すべき対策

1. SAPが提供するパッチの適用

   • ベンダーの指示に従って、緊急アップデートを適用してください。

パッチ適用が困難な場合の暫定措置

• /developmentserver/metadatauploader エンドポイントへのアクセス制限

• Visual Composer 機能の無効化（未使用であれば）

• ログをSIEMに転送し、サーブレットパス内の不審ファイルをスキャン

• 専用スキャナーによる脆弱性の有無確認（CVE-2025-31324専用ツールが公開中）

攻撃手法の詳細

セキュリティ企業ReliaQuestによると、攻撃者は以下のような手法でこの脆弱性を悪用しています

• /developmentserver/metadatauploader エンドポイントを通じてJSP形式のWebShellをアップロード。

• Webブラウザからコマンド実行やファイル操作が可能に。

• 「Brute Ratel」などのRed Teamツールの導入、「Heaven’s Gate」によるバイパス手法、dllhost.exeへのMSBuildコードのインジェクションなど、高度なポストエクスプロイト手法も観測されています。

特筆すべきは、本脆弱性がゼロデイとして報告されており、既に最新パッチを適用済みの環境でも侵害が確認されている点です。