SAPの脆弱性を連鎖させるエクスプロイトが出回る、未パッチシステムにRCEのリスク：CVE-2025-31324、CVE-2025-42999

佐々山 Tacos

2025.10.17

SAPの脆弱性を連鎖させるエクスプロイトが出回る、未パッチシステムにRCEのリスク：CVE-2025-31324、CVE-2025-42999

The Hacker News – Aug 19, 2025

SAP NetWeaverにおける2つの重大な脆弱性CVE-2025-31324およびCVE-2025-42999を組み合わせた新たなエクスプロイトチェーンがネット上に出回り、同製品を利用する組織にシステム侵害やデータ窃取のリスクが迫っているという。脅威アクター集団「Scattered Lapsus$ Hunters」がリリースしたとされるエクスプロイトを、マルウェアリサーチャーVX Undergroundが公開している。

問題の脆弱性CVE-2025-31324とCVE-2025-42999は、それぞれ4月と5月に修正されている。前者は危険なタイプのファイルの無制限アップロードに関する脆弱性で、認証されていない攻撃者による任意のファイルのアップロードを可能にするもの。CVSSスコアは満点の10.0と評価されており、遅くとも3月からゼロデイとして悪用されていた。一方、同じくすでに悪用が確認されているCVE-2025-42999は信頼できないデータのデシリアライゼーションに関する脆弱性で、CVSSスコアは9.1。これらの脆弱性は、すでにQilin、BianLian、RansomExxといったランサムウェア/恐喝グループや、中国関連のサイバースパイグループのツールになっているとされる。

VX Undergroundが8月15日にX上で報じたエクスプロイトは、両脆弱性を連鎖させることで認証を回避し、リモートコード実行を達成するものだという。VX Undergroundによれば、このエクスプロイトはScattered Lapsus$ HuntersがTelegram上でリリースしたものとされる。なおScattered Lapsus$ Huntersは、Scattered SpiderとShinyHuntersが新たに結成した脅威アクター同盟だとされている。

SAP製品関連セキュリティ企業のOnapsisによると、このエクスプロイトによる攻撃チェーンはまずCVE-2025-31324を利用して認証を回避してサーバーへ有害ペイロードをアップロードし、その後CVE-2025-42999を悪用してペイロードを解凍し、昇格された権限で実行するというもの。このエクスプロイトはWebシェルの展開に使えるのみならず、さらなる痕跡を残さずにOSコマンドを直接実行できるようになることから、LotL（living-off-the-land）攻撃を仕掛ける目的で武器化することも可能だとされる。またこうしたコマンドはSAPの管理者権限で実行され、攻撃者はSAP関連のデータやシステムのリソースへ不正にアクセスできるようになる。

さらにOnapsisは、このエクスプロイトは別のコンテキストにおいても使い回すことが可能で、例えば7月に修正された以下のデシリアライゼーションの脆弱性の悪用にも使われる恐れがあるとも伝えている。