CVE-2025-31324 検出: 現在進行中のSAP NetWeaverゼロデイ攻撃により重要なシステムがリモートコード実行の危険にさらされる

ゼロデイ脆弱性 はもはや珍しい異常ではなく、現代の攻撃者の武器の中心となっており、年々活動が増加しています。Googleの脅威情報グループ (GTIG) によると、2024年には75件のゼロデイ脆弱性が実際に悪用されており、事業に重要なシステムへの脅威が増大していることを示すものです。

最近登場した重大な脆弱性の一つであるCVE-2025-31324は、政府および大企業で広く使用されている重要なプラットフォームSAP NetWeaverに影響を与える最大の深刻度の未認証ファイルアップロード欠陥です。1,200以上のインターネットに接続されたSAP NetWeaverインスタンスがリスクにさらされているため、CVE-2025-31324はシステムを完全に侵害することを可能にする重大な脅威です。

CVE-2025-31324脆弱性悪用の検出

2024年、GTIGは企業ソフトウェアおよびアプライアンスで悪用された33件のゼロデイ脆弱性を特定しました。これらの技術は主にビジネス環境で利用されており、昨年すべてのゼロデイの44％が企業製品を対象としたことが注目に値し、事業に重要なインフラへの攻撃者の関心が明らかに高まっていることを示しています。潜在的なリスクを効果的に緩和するためには、セキュリティチームは発生早期の特定と新たに開示された脆弱性を悪用する新たな脅威に先んじた迅速な対応戦略に重点を置く必要があります。

SOC Prime プラットフォームの登録 し、AI駆動の検出エンジニアリング、脅威ハンティングの自動化、高度な脅威検出の完全な製品スイートとともに、CVE-2025-31324悪用試行に対処するキュレーションされたSigmaルールセットにアクセスします。単に 検出を見る ボタンをクリックして、関連する検出スタックにすぐアクセスしてください。

検出を見る

すべてのルールは複数のSIEM、EDR、およびデータレイク技術と互換性があり、 MITRE ATT&CK® にマッピングされているため、脅威調査の効率が向上します。さらに、各ルールは、 CTI 参照、攻撃のタイムライン、監査設定、トリアージ推奨事項など、豊富なメタデータで強化されています。

トレンド脆弱性を武装化するサイバー攻撃を検出するためのより関連性のあるコンテンツを探しているサイバー防衛者は、“CVE”タグで脅威検出マーケットプレースを検索することで、関連する検出アルゴリズムの全コレクションにアクセスできます。

さらに、セキュリティ専門家は、脅威調査を簡素化するために Uncoder AI – 脅威に基づいた検出エンジニアリングのためのプライベートなIDEおよび共同パイロット、現在完全に無料でトークン制限なしでAI機能が利用可能です。未加工の脅威レポートから検出アルゴリズムを生成し、迅速なIOCスイープを性能最適化されたクエリに取り入れ、ATT&CKタグを予測し、AIヒントでクエリコードを最適化し、複数のSIEM、EDR、およびデータレイク言語間で翻訳します。

CVE-2025-31324分析

SAPによって2025年4月24日に開示され、 2025年4月のセキュリティ・パッチ・デイで対応されたCVE-2025-31324は、CVSS v3スコアが最大の10.0を持つ未認証のファイルアップロード脆弱性です。この欠陥は、Metadata Uploaderコンポーネントで欠如した認可チェックから生じ、未認証の攻撃者が特別に細工されたPOSTリクエストを /developmentserver/metadatauploader エンドポイントに送信することを許可し、結果としてリモートコード実行(RCE)およびシステム完全侵害を引き起こす未認可のファイルアップロードを可能にします。

パッチが存在しているにもかかわらず、Rapid7のマネージド・ディテクション・アンド・レスポンス（MDR）チームは 2025年3月27日に遡る脆弱性の積極的な悪用を確認しました。特に製造業界において。 脅威アクターはこの欠陥を利用して、ディレクトリに悪意のあるJSPベースのウェブシェルをアップロードしました：

Threat actors have used the flaw to upload malicious JSP-based web shells to the directory:
j2ee/cluster/apps/sap.com/irj/servlet_jsp/irj/root/これにより、持続的なリモートアクセス、コード実行、およびデータの流出を可能にします。これらの軽量なウェブシェルは簡単なGETリクエストでアクセス可能で、脆弱なSAPサーバーを攻撃者によって制御された発射台に効果的に変じると、ReliaQuestの 研究 が示しています。

また、一部の事例では、 Brute Ratel C4 ポストエクスプロイトフレームワークのようなツールが使用され、Heaven’s Gateのような回避技術を使用してエンドポイント防御を回避するなど、脅威アクターのプロフェッショナルな性質が浮き彫りになっています。

特筆すべきは、脆弱なMetadata UploaderコンポーネントはSAP NetWeaver Javaスタックの一部ですが、デフォルトではインストールされていません。しかし、多くの組織がこの機能を有効にして、ビジネスプロセスの専門家が従来のコーディングを必要とせずに企業アプリケーションを作成できるようにしています。Onapsisの分析は、CVE-2025-31324を悪用した攻撃者が、システムデータベースへの無制限のアクセスを含むSAP環境全体への管理者レベルのアクセスを提供するウェブシェルをインストールできることを示しています。このレベルのアクセスを持つ攻撃者は、ランサムウェアを展開したり、SAPアプリケーションを混乱させたり、データを流出させたりと、幅広い悪意のある行為を実行することができます。 noted that many organizations enable this feature to allow business process specialists to create enterprise applications without the need for traditional coding. Onapsis’ analysis revealed that attackers exploiting CVE-2025-31324 can install web shells that provide administrative-level access to the entire SAP environment, including unrestricted entry to the system’s database. With this level of access, attackers can deploy ransomware, disrupt SAP applications, exfiltrate data, or carry out a wide range of malicious actions. 

同様のゼロデイや他の既知のCVEの悪用リスクを最小限に抑えるために、SOC Primeプラットフォームは、グローバルな組織が多様な環境におけるSOCの運用を拡大するのを支援するために、独自の技術融合に基づいた、AIと自動化によって強化されたリアルタイム脅威インテリジェンスによる完全な製品スイートをセキュリティチームに提供します。 今すぐ登録 して、サイバー脅威を超え、ビジネスに対する潜在的なサイバー攻撃を常に把握してください。