概要
2025年10月14日に新たに開示された脆弱性「CVE-2025-42902」は、SAP NetWeaver AS ABAPおよびABAP Platformに影響を与えます。この脆弱性により、認証されていない攻撃者が不正なSAPログオンチケットまたはSAPアサーションチケットを送信することで、サーバープロセスをクラッシュさせることが可能になります。
この脆弱性は、CVSS 3.1スコアで5.3(中程度)と評価されており、NULLポインタ逆参照に起因するメモリ破損とプロセス終了を引き起こします。
脆弱性の詳細
CVE-2025-42902は、受信するSAPログオンチケットおよびSAPアサーションチケットの検証が不十分であることに起因します。アプリケーションサーバーが破損したチケットを処理する際にNULLポインタを逆参照し、ABAPワークプロセスがクラッシュします。
この脆弱性は認証やユーザー操作を必要としないため、ネットワーク経由でリモートから悪用される可能性があります。機密性と完全性への影響はないものの、可用性が損なわれ、チケットの繰り返し送信によってサービス拒否(DoS)状態を引き起こす可能性があります。
技術的な詳細としては、チケット解析中にNULLポインタ逆参照(CWE-476)が発生します。SAPアプリケーションサーバーは構造化されたチケットオブジェクトを期待しますが、不正な入力により予期せぬNULL参照が発生し、ワークプロセスがNULLポインタのメモリにアクセスしようとしてクラッシュします。
影響を受けるバージョン
以下のSAP NetWeaver AS ABAPおよびABAP Platformのバージョンが影響を受けます。
- KRNL64NUC 7.22
- KRNL64NUC 7.22EXT
- KRNL64UC 7.22
- KRNL64UC 7.53
- KERNEL 7.22
- KERNEL 7.54
- KERNEL 7.77
- KERNEL 7.89
- KERNEL 7.93
- KERNEL 9.14
- KERNEL 9.15
- KERNEL 9.16
バージョン7.22から9.16までのすべてのサポート対象リリースが影響を受けます。
対策と推奨事項
SAPは、2025年10月14日のパッチデーにセキュリティノート3627308を公開し、パッチをリリースしました。管理者は、提供されたカーネルおよびプラットフォームのアップデートを直ちに適用することが強く推奨されます。
一時的な回避策として、SAP ICMコンポーネントで外部ログオンチケットの受け入れを無効にすることで、受信チケットの解析をブロックできます。ただし、これは正当なフェデレーションログインに影響を与える可能性があります。
現時点では、この脆弱性の悪用は公には確認されていませんが、プロアクティブなパッチ適用が最善の防御策です。また、定期的なセキュリティ体制の見直しや、SAPインターフェースのネットワークレベルでのフィルタリングもリスク軽減に役立ちます。SAProuterまたはWeb Dispatcherを信頼できるソースのみを許可するように設定することで、露出をさらに制限できます。
元記事: https://gbhackers.com/sap-netweaver-memory-corruption-flaw/