以下のブログ記事は、2025年上半期5月の「脆弱性インサイトレポート」に基づいています。
TeamT5の脆弱性リサーチチームは、重大な脆弱性に対して、タイムリーな緩和策と対応ガイドラインの提供に取り組んでいます。
当社の脆弱性インテリジェンスに関する詳細は、こちらからお問い合わせください。
SAP NetWeaverにおけるCVE-2025-31324の悪用事例
TeamT5は、SAP NetWeaverに存在する重大な脆弱性(CVE-2025-31324)が、中国系APTグループ「Amoeba(別名:APT41)」によって積極的に悪用されていたことを確認しました。Amoebaによる最も早い悪用は2025年5月に遡りますが、一般公開されたレポートではこのゼロデイ脆弱性の悪用は2025年1月に観測されたとされています。攻撃者は、脆弱性を悪用後、vshellやCobaltStrike BeaconなどのWebシェルやマルウェアを展開していました。
さらに、当社の追加調査により、複数の主要クラウドサービスプロバイダーが影響を受けていたことが判明しました。Google Cloud、Microsoft Azure、Amazon Web Servicesを含む100以上の組織においてWebシェルの侵入が確認されました。被害は、台湾、韓国、中国、インド、米国、スペイン、トルコ、ロシア、ドイツ、グアテマラ、サン・バルテルミー、チリに広がっており、対象となった業種は教育、製造、自動車、リサイクル、観光、IT、食品・飲料、コングロマリットと多岐にわたります。
本攻撃の詳細は、以下の 悪用状況にまとめています。
エグゼクティブサマリー
CVE-2025-31324の深刻度はクリティカル(重大)と評価しており、お客様には本レポートを活用して早急な対策を講じていただくよう強く推奨します。
CVE-2025-31324は、SAP NetWeaverのVisual Composer Metadata Uploaderに存在する、認証不要のファイルアップロード脆弱性です。CVSSスコアは9.8であり、認証されていない攻撃者がWebシェルのアップロードやマルウェアの埋め込みを可能にします。
SAPは2025年5月に本脆弱性を修正するセキュリティノートを公開しました[1]。しかし、CVE-2025-31324に関する公開レポートやPoC(概念実証コード)は2025年4月からすでに出回っており[2][3]、2025年1月からは野放しのゼロデイ脆弱性として悪用されていたとの報告もあります[4].
当社の調査およびCVE-2025-31324の現在の悪用状況に基づき、本レポートではフォレンジックアーティファクト(デジタル痕跡)を掲載しています。
また、付録I:マルウェア一覧および付録II:侵害の痕跡(IoC)には、確認されたマルウェアとIoCをまとめています。
さらに重要な点として、お客様向けに包括的な対策および対応ガイドも用意しています。
対策および対応ガイドには以下の内容が含まれます:
- 公式情報
- 脅威ハンティングツール:一般的なJSP形式のWebシェルを検出するためのYARAルールを提供しています。
悪用状況
CVE-2025-31324は、2025年5月以降、中国系APTグループ「Amoeba」によって悪用されています。
- Amoebaは、CVE-2025-31324を悪用して、インド、ドイツ、トルコ、スペインのほか、リサイクル、自動車、観光業界を標的とした攻撃を行いました。
- これらの攻撃では、最初のペイロードとしてWebシェルを展開し、CobaltStrike Beaconやvshellなどのマルウェアを埋め込みました。
- 使用されたマルウェアのC2サーバーは 43.133.196.194 および 101.32.26.154 です。
- このAPT活動に加え、当社の追加調査により、複数の主要クラウドサービスプロバイダーも影響を受けていたことが判明しました。 Google Cloud、Microsoft Azure、Amazon Web Services を含む100以上の組織において、Webシェルによる侵害が確認されました。
影響を受ける製品
製品名:SAP NetWeaver(Visual Composer 開発サーバー)
バージョン:VCFRAMEWORK 7.50
バージョン:VCFRAMEWORK 7.50
対策および対応ガイド
1. 公式情報
CVE-2025-31324を悪用されると、認証されていない攻撃者によってWebシェルのアップロードやマルウェアの埋め込みが可能になります。
この脆弱性に対して、早急にパッチを適用することを強く推奨します。
SAPは、2025年5月に公開されたセキュリティノートで本脆弱性(CVE-2025-31324)を修正しています:
2. 脅威ハンティングツール
CVE-2025-31324は、認証されていない攻撃者によるWebシェルのアップロードを可能にします。
TeamT5の脆弱性リサーチチームは、お客様が一般的なJSP Webシェルを検出できるように、YARAルールを用意しています。.
このYARAルールは、当社ソリューション ThreatVisionの「Threat Hunting Tools」からダウンロード可能です。
フォレンジックアーティファクト
当社の調査により、CVE-2025-31324の悪用には以下のような痕跡が残ることが判明しました。
お客様は、これらのフォレンジックアーティファクトをインシデント調査に活用することができます。
1. Webシェル
認証されていない攻撃者は、CVE-2025-31324を悪用して、以下のディレクトリにWebシェルをアップロードすることが可能です:
./apps/sap.com/irj/root/ および ./apps/sap.com/irj/work/
よく使用されるWebシェルのファイル名には、以下が含まれます:
cache.jsp
、shell.jsp
、helper.jsp
、usage.jsp
、user.jsp
、readme.jsp
当社では、これらのWebシェルを検出するためのYARAルールをお客様向けに提供しています。
2. SAPのアクセスログを確認し、不審なアクティビティを特定する
CVE-2025-31324の悪用やWebシェルへのアクセスが行われた場合、アクセスログに特定の内容が記録されます。
お客様はこれらのログを確認することで、不審なアクティビティや攻撃者のIPアドレスを特定することが可能です。
- アクセスログはSAPのインストールパス内にあり、パスは以下の通りです:
./log/system/httpaccess/responses*.trc*
- CVE-2025-31324を悪用した場合、以下のようなログが記録されます:
ATTACKER_IP : POST /developmentserver/metadatauploader?CONTENTTYPE=MODEL&CLIENT=1 HTTP/1.1 200
- Webシェルへアクセスした場合、以下のようなログが記録されます:
ATTACKER_IP : GET /irj/helper.jsp?cmd=COMMAND HTTP/1.1 200
付録 I:マルウェア一覧
本付録では、本レポート内で言及されたマルウェアについて紹介します。
Name | Type | Description | Attribution | First Seen |
---|---|---|---|---|
vshell | RAT | vshell is an open-source RAT that offers tunnel proxies and covert channels to emulate persistent attack behaviors within networks. With support for multiple protocols, robust compatibility, and extensive collaboration features, it enables blue teams to enhance security equipment assessment and bolster emergency response capabilities. vshell is widely used in red-blue attack and defense drills and confrontation simulations, simulating the strategies and techniques of APT threat actors. | Open-source | 2023.09 |
CobaltStrike Beacon | RAT | CobaltStrike Beacon is the payload of Cobalt Strike, a commercial penetration testing software used by various red teams, ethical hackers, and threat actors. It is highly customizable with features such as key logging, file transfer, SOCKS proxying, privilege escalation, and mimikatz. CobaltStrike is a legitimate tool used by ethical hackers, but it is also a cyber weapon employed by threat actors to launch real attacks against companies and organizations. | Shared | 2016.05 |
付録 II:侵害の痕跡(IoC)
101.32.26.154
43.133.196.194
7ec3d703d7fa41d0f13100ea352a9afd22c0e32f3fd1b2e08a83163ddcbe56d5
d560a377ffdba0efe9905d2d84492b486b115f60ee9a9efea850f67106ca9f14
3f5fd4b23126cb21d1007b479954af619a16b0963a51f45cc32a8611e8e845b5
c7b9ae61046eed01651a72afe7a31de088056f1c1430b368b1acda0b58299e28
9fb57a4c6576a98003de6bf441e4306f72c83f783630286758f5b468abaa105d
参考資料
[1] SAP Security Note
https://support.sap.com/en/my-support/knowledge-base/security-notes-news/may-2025.html
https://support.sap.com/en/my-support/knowledge-base/security-notes-news/may-2025.html
[2] Threat Brief: CVE-2025-31324
https://unit42.paloaltonetworks.com/threat-brief-sap-netweaver-cve-2025-31324/
https://unit42.paloaltonetworks.com/threat-brief-sap-netweaver-cve-2025-31324/
[3] Proof of Concept
https://github.com/ODST-Forge/CVE-2025-31324_PoC
https://github.com/ODST-Forge/CVE-2025-31324_PoC
[4] SAP NetWeaver Flaw Lets Hackers Take Full Control: CVE-2025-31324 Explained
https://onapsis.com/blog/active-exploitation-of-sap-vulnerability-cve-2025-31324/
https://onapsis.com/blog/active-exploitation-of-sap-vulnerability-cve-2025-31324/
Related Post
製品及びサービス
2023.10.30
脆弱性とは?
vulnerability research