2025年5月版 最速!危険度の高い脆弱性をいち早く解説「脆弱性研究所」第34回
5月に公開された重大な脆弱性(CISA KEV参照)
5月に新たに公開された脆弱性は4218件となります。この中で特に重大な脆弱性をいくつかピックアップして説明したいと思います。
第三回で説明したCISAによる「実際に悪用されている脆弱性(Known Exploited Vulnerabilities Catalog)」のデータベース情報もあわせて載せています。
5月にCISAのKEVに登録された脆弱性はトータル25件で、内訳は
- Microsoft 5件
- Ivanti 2件
- GeoVision 2件
- CommVault 1件
- Apache HTTP Server 1件
- Google Chrome 1件
- DrayTech 1件
- Fortinet 1件
- FreeType 1件
- LangFlow 1件
- MDaemon 1件
- Samsung 1件
- SAP 1件
- SonicWall 1件
- Srimax 1件
- TeleMessage 1件
- Yiiframework 1件
- Zimbra 1件
- ZKTeko 1件
になっています。
参考情報
- CISA「Known Exploited Vulnerabilities Catalog」
1. “AirBone”脆弱性
Oligo Security Researchが、AppleのAirPlayプロトコルと、AirPlay ソフトウェア開発キット (SDK) に脆弱性を発見しました。OligoはAppleに対して合計23件の脆弱性の情報を提供し、そのうち17件のCVEが公開されました。
また、このうちの2つの脆弱性(CVE-2025-24252やCVE-2025-24132)を他の脆弱性と組み合わせて悪用することで、攻撃者はゼロクリックのRCEエクスプロイトを仕込むことも実証されています。以下では、この情報を簡単にまとめます。
一次情報源
CVE情報
公開されたCVEは以下になります。詳細はOligoのブログから取ってきています。
- CVE-2025-24126
- CVSS Base
- 9.8 Critical
- Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
- 入力値の検証が不十分だったため、ローカルネットワークの攻撃者が予期しないシステム終了やメモリ不整合を引き起こせる可能性があります。
- CVSS Base
- CVE-2025-24129
- CVSS Base
- 7.5 High
- Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
- 型混乱(Type confusion)の問題が見つかりました。リモートの攻撃者は、これを利用してサービスを不正に終了させる可能性があります。
- CVSS Base
- CVE-2025-24131
- CVSS Base
- 6.5 Medium
- Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
- 不正なメモリ処理の問題が見つかりました。特権を持っている攻撃者はこれを利用してサービスにDDoSを起こせる可能性があります。
- CVSS Base
- CVE-2025-24132
- CVSS Base
- 6.5 Medium
- Vector: CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
- スタックベースのバッファオーバーフローです。これにより、特定の条件下でゼロクリックのリモートコード実行(RCE)が可能になります。
- CVSS Base
- CVE-2025-24137
- CVSS Base
- 8.0 High
- Vector: CVSS:3.1/AV:A/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
- 型混乱(Type confusion)の問題が見つかりました。リモートの攻撃者はこれを利用してサービスを不正に終了させたり、任意のコードを実行できる可能性があります。
- CVSS Base
- CVE-2025-24177
- CVSS Base
- 7.5 High
- Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
- NULLポインタ被参照の問題が見つかりました。リモートの攻撃者がこれを利用してDDoSを起こせる可能性があります。
- CVSS Base
- CVE-2025-24179
- CVSS Base
- 5.7 Medium
- Vector: CVSS:3.1/AV:A/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H
- スタックベースのバッファオーバーフローです。ローカルネットワークの攻撃者がこれを利用してDDoSを起こせる可能性があります。
- CVSS Base
- CVE-2025-24206
- CVSS Base
- 7.7 High
- Vector: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
- 認証の問題が見つかりました。これにより、ローカルネットワークの攻撃者が認証ポリシーを回避する可能性があります。
- CVSS Base
- CVE-2025-24251
- CVSS Base
- 6.5 Medium
- Vector: CVSS:3.1/Av:A/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
- NULLポインタ被参照の問題が見つかりました。ローカルネットワークの攻撃者がこれを利用してアプリケーションを不正に終了する可能性があります。
- CVSS Base
- CVE-2025-24252
- CVSS Base
- 9.8 Critical
- Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
- Use-After-Freeにより、ローカルネットワーク上の攻撃者にプロセスメモリを破損される可能性がありました。攻撃者はこれを悪用してメモリを破壊し、悪意のあるコードを注入できる可能性があります。
- CVSS Base
- CVE-2025-24270
- CVSS Base
- 5.7 Medium
- Vector: CVSS:3.1/AV:A/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
- 直接的な原因は明らかにされていませんが、ローカルユーザーが他のユーザーのファイルを読むことが可能になります。
- CVSS Base
- CVE-2025-24271
- CVSS Base
- 5.4 Medium
- Vector: CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N
- 直接的な原因は明らかにされていませんが、同じネットワークでMacでサインインしている未認証ユーザーがペアリングなしにAirPlayコマンドを送れるようになります。
- CVSS Base
- CVE-2025-30422
- CVSS Base
- 6.5 Medium
- Vector: CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
- スタックベースのバッファオーバーフローです。これにより、特定の条件下でゼロクリックのリモートコード実行(RCE)が可能になります。
- CVSS Base
- CVE-2025-30445
- CVSS Base
- 6.5 Medium
- Vector: CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
- バッファオーバーフローの脆弱性になります。これによりローカルネットワークの攻撃者はアプリを終了できる可能性があります。
- CVSS Base
- CVE-2025-31197
- CVSS Base
- 5.7 Medium
- Vector: CVSS:3.1/AV:A/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H
- 詳細は公開されていませんが、これによりローカルネットワークの攻撃者はアプリを終了できる可能性があります。
- CVSS Base
- CVE-2025-31202
- CVSS Base
- 5.5 Medium
- Vector: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H
- NULLポインタ被参照の問題です。ローカルネットワークの攻撃者がこれを利用してDDoSを起こせる可能性があります。
- CVSS Base
- CVE-2025-31203
- CVSS Base
- 6.5 Medium
- Vector: CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
- 整数オーバーフローの問題になります。ローカルネットワークの攻撃者がこれを利用してDDoSを起こせる可能性があります。
- CVSS Base
以下は、脆弱性の種類ごとにまとめた表になります(表は一次情報源から転載しています)。
1. ユーザーインタラクションの迂回
| CVE | CWE | Apple社のKB |
| CVE-2025-24206 | CWE-288:認証バイパス | tvOS 18.4 iOS 18.4 and iPadOS 18.4 iPadOS 17.7.6 macOS Sequoia 15.4 visionOS 2.4 macOS Sonoma 14.7.5 macOS Ventura 13.7.5 |
2. ACLの問題と迂回
| CVE | CWE | Security Advisory |
| CVE-2025-24271 | CWE-306:重要な機能に対する認証漏れ | tvOS 18.4 iOS 18.4 and iPadOS 18.4 iPadOS 17.7.6 macOS Sequoia 15.4 visionOS 2.4 macOS Sonoma 14.7.5 macOS Ventura 13.7.5 |
| CVE-2025-24271 | CWE-843:型の取り違え | tvOS 18.4 iOS 18.4 and iPadOS 18.4 iPadOS 17.7.6 macOS Sequoia 15.4 visionOS 2.4 macOS Sonoma 14.7.5 macOS Ventura 13.7.5 |
3. リモートコード実行(RCE)
4. ローカルの任意のファイル読み取り
| CVE | CWE | Security Advisory |
| CVE-2025-24270 | CWE-59:リンク解釈の問題 | tvOS 18.4 iOS 18.4 and iPadOS 18.4 iPadOS 17.7.6 macOS Sequoia 15.4 visionOS 2.4 macOS Sonoma 14.7.5 macOS Ventura 13.7.5 |
5. 機密情報の開示
| CVE | CWE | Security Advisory |
| CVE-2025-24270 | CWE-200:情報漏洩 | tvOS 18.4 iOS 18.4 and iPadOS 18.4 iPadOS 17.7.6 macOS Sequoia 15.4 visionOS 2.4 macOS Sonoma 14.7.5 macOS Ventura 13.7.5 |
6. その他
AirPlayとは
AirPlayはAppleが開発したワイヤレス通信技術です。AirPlayを使って、Apple製のデバイスからApple TV、AirPlay対応のスマートテレビ、Macにコンテンツをストリーミングしたり共有したりできます。
今回の脆弱性調査は、Oligo社が0[.]0[.]0[.]0でアクセスできるオープンポートをスキャンしている際に、社内ネットワーク上のほとんどのデバイスがAirPlayポート(7000)が開いていることに気がついたことから始まったとのことです。
AirBorneとは
AirBorneは複数の脆弱性で成り立っており、組み合わせることでゼロクリック攻撃など多くの攻撃が可能になります。
1. ユーザーインタラクションの迂回による「ゼロクリック攻撃」
AirPlayは、権限を処理するために主に2つの機能を使用します。
1.ACL:AirPlayレシーバーの構成に基づいてアクセス制限を行います。
2.ユーザーインタラクション:特定のアクションではユーザーが「承認」をクリックしてAirPlay接続を承認する必要があります。
今回は複数の脆弱性が発見されており、これらを組み合わせていろいろな攻撃を行うケースが考えられます。例えば今回発見されたCVE-2025-24206と他の脆弱性を組み合わせることにより、「承認」のクリックを回避して「ゼロクリック攻撃」を引き起せるようになります。
2. 脆弱性の組み合わせと攻撃パターン
以下は脆弱性の組み合わせでどのような攻撃が発生するか、Oligoが挙げた例になります。oligoのサイトには、それぞれの例でのPoCの動画が公開されています。下記に挙げた攻撃以外にも、中間者攻撃(MITM:Man-In-The-Middle) など、いろいろなケースが考えられるそうです。
- MacOS(ゼロクリックRCE)
- CVE-2025-24252がCVE-2025-24206と組み合わさることで、AirPlayレシーバーがオンで「同一ネットワーク上の全員」または「全員」に設定されているmacOSの場合、攻撃者が同じネットワークからゼロクリックRCE(リモートコード実行)攻撃を行えるようになります。
- macOS(ワンクリックRCE)
- CVE-2025-24271がCVE-2025-24137と組み合わさることで、AirPlayレシーバーがオンで「現在のユーザー」設定になっているmacOSデバイスの場合、攻撃者が同じネットワークから「ワンクリックRCE」攻撃を行えるようになります。
- AirPlay SDK
- CVE-2025-24132はスタックベースのバッファオーバーフロー脆弱性になります。これを用いることでゼロクリックRCEが可能になります。攻撃例として、デバイスのマイクを利用することによる盗聴などが考えられます。
- CarPlay SDK
- CVE-2025-24132はスタックベースのバッファオーバーフロー脆弱性になります。これを用いることでゼロクリックRCEが可能になります。攻撃例として、会話の盗聴やクルマの追跡などが考えられます。以下のような制約があります。
- Wifi: CarPlayデバイスのWifiホットスポットを利用するため、クルマの近くにいる必要があります。
- Bluetooth: クルマの近くにいて、かつAirPlayデバイスに表示されるPINを確認して入力する必要があります。
- USB: 物理的に接続する必要があります。
- CVE-2025-24132はスタックベースのバッファオーバーフロー脆弱性になります。これを用いることでゼロクリックRCEが可能になります。攻撃例として、会話の盗聴やクルマの追跡などが考えられます。以下のような制約があります。
修正方法
CVE-2025-24137に関しては、2025年1月23日の更新で既に修正されている模様です。その他の脆弱性も最新の修正パッケージに含まれているため、最新のバージョンへの更新で修正が可能です。
参考情報
- Oligo: Airborne: Wormable Zero-Click Remote Code Execution (RCE) in AirPlay Protocol Puts Apple & IoT Devices at Risk
- AirPlayを使ってiPhoneやiPadからビデオをストリーミングする/画面をミラーリングする
2. SAP Netweaverの脆弱性(CVE-2025-42999, CVE-2025-31324)。既に攻撃に使われている模様
SAPが2025年5月13日に月例のセキュリティパッチをリリースしました。この中で、 SAP Netweaverの脆弱性(CVE-2025-42999)が既に悪用が観測されており、CISA KEVにも含まれています。また、2025年4月24日にSAP Netweaverの脆弱性(CVE-2025-31324)も公開されており、危険度が高く5月に入ってランサムウェアグループによって悪用もされています。下記では、SAP Netwaeaverの脆弱性と攻撃について簡単にまとめます。
一次情報源
- SAP: SAP セキュリティパッチデー 2025 年 4 月
- SAP: SAP セキュリティパッチデー 2025 年 5 月
- ReliaQuest: eliaQuest Uncovers New Critical Vulnerability in SAP NetWeaver
- ONAPSIS: SAP NetWeaver Flaw Lets Threat Actors Take Full Control: CVE-2025-31324 and CVE-2025-42999 Explained
CVE情報
公開されたCVEは以下になります。
- CVE-2025-31324
- CVSS
- Base Score: 10.0 Criticall
- Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
- SAP NetWeaver Visual Composer Metadata Uploaderは認証によって正しく守られておらず、認証されていないエージェントによって、ホストに影響を与える悪意のある実行可能なバイナリがアップロードされる可能性があります。 これにより標的のシステムの機密性・整合性・可用性(CIA: ConfidentialityI: Integrity: Availability)が失われる可能性があります。
- CVSS
- CVE-2025-42999
- CVSS
- Base Score: 9.1 Critical
- Vector: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
- SAP NetWeaver Visual Composer Metadata Uploaderは、特権ユーザーが信頼されていない悪意のあるデシリアライズされたコンテンツをアップロードすることで、標的のシステムの機密性・整合性・可用性(CIA: ConfidentialityI: Integrity: Availability)が失われる可能性があります。
- CVSS
脆弱性の詳細(ReliaQuest社のレポート/ONAPSIS社のレポートより)
ReliaQuest社が、SAP NetWeaverに関する顧客からの複数のインシデントを調査した際に、不正なファイル(JSP Webshell)のアップロードと悪意のあるファイルの実行に関係していることが判明しました。影響を受けたシステムのいくつかは、既に最新のSAPサービスパックを実行しており、パッチも適用されていました。その後、ReliaQuest社が調査を進めていくうちに、4月の段階でCVE-2025-31324を特定しSAP社に情報を共有の上、公開した形になります。
またその後、ONAPSIS社(当初から調査を行なっていた別のセキュリティ会社)がCVE-2025-31324の最初のパッチ適用後に残っていた残存リスクを特定し、SAP社と情報を共有の上、CVE-2025-42999として情報とパッチがリリースされています。
時系列
ReliaQuest社およびONAPSIS社のレポートなどを参考に、今回の全体の時系列をまとめます。
| 日付 | 詳細 | 情報源 |
| 2025年1月20日 – 2025年2月20日 | Onapsis Research Labsのハニーポットで今回の脆弱性発見の元になった攻撃を検出 | ONAPSIS |
| 2025年3月12日 | Mandiant社のインシデント対応による最初のエクスプロイト攻撃のタイミング | ONAPSIS |
| 2025年3月27日 | Rapid7による顧客環境での悪用観測 | ONAPSIS |
| 2025年4月22日 | ReliaQuest社によるSAP社への情報共有および観察結果の公開 | ReliaQuest |
| 2025年4月24日 | CVE-2025-31324の特定と公開 | SAP |
| 2025年4月29日 | CVE -2025-31324がCISA KEVに登録される | CISA |
| 2025年5月2日 | MandiantとONAPSISが、CVE -2025-31324のIoCを特定するツールをOSSとして公開する | ONAPSIS |
| 2025年5月8日 | Forescout Vedere Labsがパッチ適用後のエクスプロイトの波の調査結果を報告。依然として脆弱なシステムや既存のWebシェルを利用した、便乗攻撃を仕掛けるために悪意のあるインフラストラクチャが利用されていることを確認し公開。これらの攻撃は、中国を拠点とする可能性のある脅威アクターによるものとされる | FORESCOUT |
| 2025年5月初旬 | ONAPSIS社がCVE-2025-31324を標的とした「第一波」攻撃の一つを再現し、データをSAP社に共有 | ONAPSIS |
| 2025年5月13日 | SAP社がセキュリティのリリースと、CVE-2025-42999を公開 | SAP |
| 2025年5月14日 | ReliaQuest社による分析の結果、今回の攻撃がロシアのランサムウェアグループ「BianLian」と「RansomEXX」ではないかというレポートがあげられる | ReliaQuest |
| 2025年5月15日 | CVE -2025-42999がCISA KEVに登録される | CISA |
脆弱性(CVE-2025-31324とCVE-2025-42999)の関係
CVE-2025-31324は、今回悪用された脆弱性になります。また、CVE-2025-42999はCVE-2025-31324の認証チェック欠落の原因が、Java デシリアライゼーションの脆弱性にあったことから公開された脆弱性と修正になります。
ONAPSISの情報によると、SAPは5月のパッチリリースにCVE-2025-31324(これは4月のパッチリリース後に出されたものです)とCVE-2025-42999の両方を含んでおり、CVE-2025-31324の個別パッチ適用ずみかどうかに関わらず5月の更新を行うことを勧めているとのことです。
攻撃者の情報
2025年5月の時点では、今回の一連の攻撃がどの脅威アクターによるものかは判明していません。今回、特に脆弱性の公開後の悪用パターンを見ると、共通の脆弱性を複数の攻撃者が攻撃に悪用しようとしていた可能性が高いと思われます。
中国系の脅威アクターの可能性
CVE-2025-31324が公開された後のFORESCOUTの観測によると、今回の攻撃元となったIPアドレスを分析したところ、AS番号は
- ALIBABA-CN-NET(杭州アリババ CN-NET)
- TENCENT-NET-AP(テンセントコンピュータシステムズ株式会社)
- HWCSNET(ファーウェイクラウドサービスデータセンター)
- CHINA169-BACKBONE(中国聯通 China169 バックボーン)
などとなっており、CVE-2025-31324の公開後には、中国が背後にいる脅威アクターによって攻撃が悪用されていた可能性が考えられます。
ロシア系の脅威アクター(BianLian/RansomEXX)の可能性
ReliaQuest社の調査によると
- BianLian:今回のインシデントの少なくとも一件に使用されていたIPアドレス(184[.]174[.]96[.]74)のサーバが、同じホスティング会社のIPアドレスで過去にBianLianによりC2サーバとして悪用されていた(184[.]174[.]96[.]70)と関連していることが判明しています。
- RansomEXX:今回のインシデントの中で確認された、攻撃フェーズで行われたバックドア展開に使用されていたマルウェアをサンドボックスで解析したところ、PipeMagicとRansomEXXの両方に紐付けられたドメインであるaaaaabbbbbbb[.]eastus[.]cloudapp[.]azure[.]comへのビーコン送信が確認されています。
このように、脆弱性(CVE-2025-31324)が公開されたため、あちこちの脅威アクターがこの脆弱性を狙っているのではないかと考えられます。
参考情報
- SAP: SAP セキュリティパッチデー 2025 年 4 月
- SAP: SAP セキュリティパッチデー 2025 年 5 月
- ReliaQuest: eliaQuest Uncovers New Critical Vulnerability in SAP NetWeaver
- ONAPSIS: SAP NetWeaver Flaw Lets Threat Actors Take Full Control: CVE-2025-31324 and CVE-2025-42999 Explained
- FORESCOUT: Threat Analysis: SAP Vulnerability Exploited in the Wild by Chinese Threat Actor
5月のまとめ
今回は取り上げませんでしたが、5月は他にもEarlang/OTPにRCE脆弱性(Critical: CVE-2025-32433)や、Cisco Webex のRCE脆弱性(CVE-2025-20236)など危険な脆弱性が出ています。相変わらず公開される脆弱性は多く悪用もされていますので、皆様も使用ベンダーからの情報に気をつけて対応を行ってください。
<著者> 面 和毅
サイオステクノロジー株式会社 上席執行役員
OSS/セキュリティエバンジェリスト
OSSのセキュリティ専門家として20年近くの経験があり、主にOS系のセキュリティに関しての執筆や講演を行う。大手ベンダーや外資系、ユーザー企業などでさまざまな立場を経験。
2015年からサイオステクノロジーのOSS/セキュリティエバンジェリストとして活躍中。また、ヒートウェーブ株式会社でも講師として活動中。
専門分野はSELinuxを含むOSのアクセス制御、AntiVirus、SIEM、脅威インテリジェンス。
「脆弱性研究所」の最新話は、メールマガジンにてもご案内致しています。是非JAPANSecuritySummit Updateのメールマガジンにご登録ください。
メールマガジンの登録はこちらからお願いします
最速! 危険度の高い脆弱性をいち早く解説「脆弱性研究所」の過去の記事はこちらから
