概要
2025年10月14日、SAP NetWeaver AS ABAPおよびABAP Platformに新たな脆弱性(CVE-2025-42902)が公開されました。この脆弱性により、認証されていない攻撃者が不正な形式のSAPログオンチケットまたはSAPアサーションチケットを送信することで、サーバープロセスをクラッシュさせることが可能になります。
この脆弱性はCVSS 3.1スコアで5.3(中程度)と評価されており、NULLポインタ逆参照に起因するメモリ破損とプロセス終了を引き起こします。
脆弱性の詳細
CVE-2025-42902は、受信するSAPログオンチケットおよびSAPアサーションチケットの検証が不十分であることに起因します。アプリケーションサーバーが破損したチケットを処理する際に、NULLポインタを逆参照し、ABAPワークプロセスがクラッシュします。
影響を受けるバージョン
- KRNL64NUC 7.22
- KRNL64NUC 7.22EXT
- KRNL64UC 7.22
- KRNL64UC 7.53
- KERNEL 7.22
- KERNEL 7.54
- KERNEL 7.77
- KERNEL 7.89
- KERNEL 7.93
- KERNEL 9.14
- KERNEL 9.15
- KERNEL 9.16
この問題は、AS ABAPおよび広範なABAP Platformの複数のカーネルおよびバージョンビルドに影響を与えることが確認されています。
影響と悪用
この脆弱性は認証やユーザー操作を必要としないため、ネットワーク経由でリモートから悪用される可能性があります。機密性および完全性への影響はないものの、可用性に影響を与えます。不正なチケットを繰り返し送信することで、サービス拒否(DoS)状態を引き起こす可能性があります。
典型的な攻撃では、攻撃者は不正な形式のチケットペイロードを作成し、標準のSAPログオンインターフェースを介して送信します。有効なSAPユーザー認証情報は不要です。不正なチケットが送信されるたびにワークプロセスが終了し、十分な並行接続があれば、サーバーインスタンス全体が応答不能になる可能性があります。
対策と推奨事項
SAPは、2025年10月のパッチデーにセキュリティノート3627308を公開し、パッチを提供しました。管理者は、提供されたカーネルおよびプラットフォームのアップデートを直ちに適用する必要があります。
一時的な回避策として、SAP ICMコンポーネントで外部ログオンチケットの受け入れを無効にすることで、受信チケットの解析をブロックできますが、これは正当なフェデレーションログインを妨げる可能性があります。
現時点では、この脆弱性の悪用は公には確認されていませんが、プロアクティブなパッチ適用が最善の防御策です。定期的なセキュリティ体制のレビューと、SAPインターフェースのネットワークレベルでのフィルタリングにより、リスクをさらに軽減できます。SAProuterまたはWeb Dispatcherを信頼できるソースのみを許可するように設定することで、露出を制限することが推奨されます。
元記事: https://gbhackers.com/sap-netweaver-memory-corruption-flaw/