5
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

ハニーポット観測:SAP社製品(SAP NetWeaver)の脆弱性を標的とする攻撃パケットの観測結果

Posted at

はじめに

三菱電機の山元です。

弊社のハニーポットにおいて、企業のERP(Enterprise Resource Planning)ソリューション実現のために使用されるSAP社のミドルウェア製品SAP NetWeaverの脆弱性を悪用する攻撃を観測しました。
本脆弱性を悪用する攻撃は、攻撃手法を変更して現在も悪用が続いていると報告1があります。
本脆弱性に対する認知度を向上させ、注意喚起するために、脆弱性の概要や弊社のハニーポットにおける観測状況を共有いたします。

攻撃の観測状況

標的のソフトウェア

今回観測した攻撃は、ドイツのSAP社が開発する「SAP NetWeaver」で使用可能なツールの1つである「SAP NetWeaver Visual Composer」を標的としています。「SAP NetWeaver」はSAP社の提供する様々なアプリケーションを統合するための統合ミドルウェア製品です。SAP社はERPソリューションを提供する代表的な企業であり、同社の提供するソフトウェアは世界各国の企業で広く導入されています。

標的の脆弱性

本攻撃は2025/4/24に公開されたSAP NetWeaver Visual Composerの脆弱性であるCVE-2025-313242を悪用する攻撃です。本脆弱性を悪用することで、SAP NetWeaver Visual Composerが備える「/developmentserver/metadatauploader」エンドポイントに対して、攻撃者は認証なしで任意のファイルをアップロードすることが可能です。一例として、攻撃者が侵害先のシステムへの接続に使用するスクリプトである、Webシェルをアップロードすることが報告されています3。このWebシェルを悪用することで、攻撃者はSAP社製品のインストールされたサーバのユーザ権限を用いて、システムリソースへのフルアクセスが可能になります。
本脆弱性の深刻度について、攻撃者が任意のファイルをアップロードしてコマンドを実行できるため、CVSS4スコアは9.8と評価されています。これはCVSSv3の深刻度レベルにおいて最高の「緊急(Critical)」に分類されるスコアであり、極めて深刻な脆弱性であることを示しています。

観測した攻撃パケットの内容

今回観測したパケットの内容を下表に示します。

HTTPメソッド URI リクエストボディ
GET /developmentserver/metadatauploader -
POST /developmentserver/metadatauploader?CONTENTTYPE=MODEL&CLIENT=1 zip形式ファイル

観測したパケットはGETメソッドとPOSTメソッドを使用して送信されていました。
GETメソッドのパケットは、SAP NetWeaver Visual Composerが動作するサーバを探索する目的があると推測されます。
一方、POSTメソッドのパケットは、リクエストボディにzip形式と見られるファイルが含まれており、Webシェルなどの悪意あるファイルのアップロードを意図していると見られます。
弊社で観測したパケットの内、GETメソッドのパケットと、POSTメソッドのパケットの割合を下表に示します。

メソッド 割合
GETメソッド(探索活動) 約97.7%
POSTメソッド(攻撃) 約2.3%

観測パケットの大部分がGETメソッドによる探索活動であった理由は、弊社ハニーポットがSAP NetWeaverの正規の応答を返さないためと考えられます。
もし正規の応答を返していた場合、攻撃者は次の攻撃ステップとして、脆弱性を悪用したファイルのアップロードを試行するものと推測しています。

攻撃パケットの観測状況

本脆弱性を標的とするパケットについて、弊社ハニーポットにおける観測状況を下記のグラフに示します。
(グラフ上の観測期間:2025/04/27 00:00:00 ~ 2025/06/15 23:59:59)
SAP NetWeaver VisualComposer.png

脆弱性の公開から6日後である2025/4/30から、弊社のハニーポットにおいて探索活動や攻撃を意図するパケットを観測しています。
公開から短期間で悪用を意図するパケットを弊社のハニーポットで観測できたことから、攻撃者からも利用価値が高いと判断されたものと推測しています。

攻撃パケットの送信元

具体的な組織名を伏せますが、送信元はアメリカのクラウドサービスのASN5とロシアのホスティングサービスのASNでした。
特にロシアのホスティングサービスは、以前の弊社の記事にて報告6した、攻撃者による悪用が容易なホスティングサービスと同一であり、IPアドレスも一致していました。このことから、様々な脆弱性を悪用する個人/組織の存在が示唆されます。

おわりに

今回の例のように、企業活動の重要な分野の多くに関わるソフトウェアに脆弱性が発見された場合、比較的短期間で攻撃活動が始まることがあります。
このような脅威に対応するために、例えばSBOM(Software Bill of Materials)を活用した自社ソフトウェアの把握と脆弱性監視など、迅速な対応を可能にする仕組みづくりが一層重要になると考えます。

弊社では今後もQiitaを通じて継続的にハニーポットを用いた攻撃パケットの観測/分析結果をご報告します。

  1. https://reliaquest.com/blog/threat-spotlight-reliaquest-uncovers-vulnerability-behind-sap-netweaver-compromise/

  2. https://nvd.nist.gov/vuln/detail/CVE-2025-31324

  3. https://onapsis.com/blog/active-exploitation-of-sap-vulnerability-cve-2025-31324/

  4. CVSS(Common Vulnerability Scoring System)v3:セキュリティ脆弱性の深刻度を0.0~10.0の数値で表した国際標準の評価指標。v3の部分はバージョンを表す。

  5. ASN(Autonomous System Number):インターネット上で独立したネットワーク(自律システム)を識別するための固有の番号

  6. https://qiita.com/melymmt/items/0cec12f43189ab79564c

5
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
5
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?