SAP の顧客は、インストールを更新して、アクセス可能な誰でもソフトウェアを乗っ取ることができるセキュリティの脆弱性を解消する必要があります。
発見者であるセキュリティショップの Onapsis によって RECON (Remotely Exploitable Code On NetWeaver) と名付けられたこの SAP の NetWeaver AS JAVA (LM 構成ウィザード) のバグにより、認証されていないリモートのハッカーが権限なく管理者アカウントを作成し、脆弱な NetWeaver ベースのシステムを乗っ取ることができるようになります。
CVE-2020-6287 というバグは、NetWeaver における適切な認証の欠如です。これにより、権限のないユーザーが HTTP 経由で新しい管理者アカウントを作成し、悪意のあるユーザーにフルアクセスを許可してしまう可能性があります。深刻度は 10 点満点中 10 点です。脆弱な Java コンポーネントは SAP の製品ラインの多くで使用されているため、ネットワーク上で実行されているすべての SAP コードのアップデートを確認することをお勧めします。
この欠陥を悪用するには、ハッカーはネットワーク経由で、または公開されている場合はインターネット経由でソフトウェアにアクセスできればよい。
「RECONの脆弱性は、SAP NetWeaver Javaテクノロジースタックを実行するすべてのSAPアプリケーションに存在するデフォルトコンポーネントに影響を及ぼします」とオナプシス氏は述べています。「この技術コンポーネントは、SAP SCM、SAP CRM、SAP PI、SAP Enterprise Portal、SAP Solution Manager(SolMan)など、多くのSAPビジネスソリューションで使用されており、4万社以上のSAP顧客に影響を与えています。」
NetWeaver 7.30、7.31、7.40、7.50、またはそれ以前のバージョンをご利用のお客様は、ソフトウェアを更新して脆弱性を解消する必要があります。Onapsis氏は、問題となっているNetWeaverアプリはネットワークやパブリックインターネット上に公開されることが多いため、この脆弱性が特に危険であると考えています。顧客向けアプリや、従業員やビジネスパートナー向けの社内ツールなどがこれにあたります。
SAPは第2四半期の決算を早期に発表、ライセンス収入の18%減少は「改善」と発表
続きを読む
Onapsis社は、潜在的に脆弱なSAPシステムが少なくとも2,500件オンライン上に公開されていると推定しており、そのうち33%が北米、29%が欧州、27%がアジア太平洋地域に集中している。また、この脆弱性により、共有されるデータによっては、企業が政府のコンプライアンス違反による罰金を科されるリスクもあると同社は考えている。
「攻撃者が取得できる無制限のアクセスの種類を考えると、この脆弱性は企業のIT管理における規制要件への不備にもなりかねません」とオナプシス氏は述べた。「財務(サーベンス・オクスリー法)およびプライバシー(GDPR)のコンプライアンスに影響を及ぼす可能性があります。」
この警告は US-CERT によって裏付けられ、管理者にできるだけ早くソフトウェアを更新するよう促した。
「この脆弱性の重大性、この脆弱性が示す攻撃対象領域、そしてSAPのビジネスアプリケーションの重要性を考慮し、サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、組織が直ちにパッチを適用することを強く推奨する」と米国のコンピュータセキュリティ機関は述べた。
「CISA は、組織がインターネットに接続されたシステムのパッチ適用を優先し、次に内部システムのパッチ適用を行うことを推奨しています。」
Onapsis社は、5月27日にSAP社にこの脆弱性を報告したと述べた。同日中にバグが確認され、6月8日にCVSSスコア10が付与された。この脆弱性は、SAP社が月例セキュリティ更新サイクルの一環としてパッチ(サポートノート2934135)をリリースできる7月14日まで公表されなかった。®
