SAP NetWeaver Application Server ABAP に影響する CVE-2020-6262 (別名ノート 2835979) にパッチを適用していただければ幸いです。この脆弱性を発見して報告した人々が詳細を公開する予定です。
SEC Consultは本日、ウェブサイトでこの脆弱性の詳細を公開すると伝えられています。これにより、攻撃者は脆弱性のあるシステムを発見し、悪用するために必要な情報を入手できるようになります。情報セキュリティ業界のAlexander Meier氏とFabian Hag氏は、このセキュリティホールを発見し、4月にSAPに報告しました。この脆弱性は5月に修正されました。
この深刻度が「緊急」のバグ(CVSS v3メーターで10点満点中9.9点)は、不正な認証ユーザーやアクセスを乗っ取られた人物によって悪用され、アプリケーションサーバーに任意のコードが注入される可能性があります。つまり、サーバー上で本来実行できない悪意のあるコマンドを実行したり、機密情報をダウンロードしたり、インストールをクラッシュさせたりすることが可能です。
この脆弱性の悪用は、Netweaverインストールにおけるリモートファンクションモジュールの存在に依存しているようです/SDF/GEN_FUNCS_FUNC_CALL。このモジュールは、SAPのSolution Manager管理ツールがアプリケーションサーバーにABAPコマンドを送信するために使用します。このバグは、入力データのサニタイズ処理が不十分な典型的な例であり、Solution Managerにアクセスできる人物が、前述のリモートファンクションモジュールを介してアプリケーションサーバーにABAPコードを挿入できる可能性があります。
「調査中、テーブル PT_IMPORTING 内の VALUE フィールドのデータは、悪意のある入力がチェックされていないか、検証またはサニタイズされていないことが確認されました」と、本日公開される予定で、その草稿が今週The Registerで確認された、この脆弱性に関する SEC Consult の詳細な勧告には記されている。
Microsoft、Intel、Adobe、SAP、Red HatのPatch Tuesday記事に、あまりにも長い時間を費やしすぎました。クリックして、読んだふりをして、アップデートを適用すればいいだけです。
続きを読む
その結果、攻撃者は意図した構文命令を突破することが可能になります。VALUEフィールドにABAPコードを挿入することで、攻撃者は生成されたサブルーチンプールのソースコードを操作し、ひいてはモジュール全体の実行ロジックを操作できるようになります。攻撃者はこのフィールドで使用できる文字を自由に選択できるため、任意のABAPコードを挿入することが可能です。
この動作を悪用するために、攻撃者は「'」や「.」などの特殊文字を使用して、ソースコードに組み込まれた文字列引用符をエスケープすることができます。その後、攻撃者はアプリケーションサーバーによって実行される、意味的に有効な任意のABAPコードを指定するだけで済みます。
このアドバイザリには、SAPシステムからハッシュ化されたパスワードを抽出し、重要なシステムテーブルを削除し、SAPシステム全体を無制限に制御するための概念実証エクスプロイトが含まれています。ネットワークへの悪意ある攻撃やそれ以上の被害を防ぐには、この脆弱性を修正する必要があるでしょう。
これは、Solution Manager(別名SolMan)で最近発見された一連のバグの最新のもので、SAPシステムの乗っ取りに悪用される可能性があります。特に注目すべきは、Onapsisのチームが発見したRECONの脆弱性で、これも入力データのサニタイズ不足を悪用するものでした。®
