SAP を使用する政府機関などへの攻撃が止まらない

Ongoing attacks are targeting unsecured mission-critical SAP apps

2021/04/06 BleepingComputer — サイバー犯罪者たちは、SAP のミッションクリティカル・アプリケーションを標的にしている。脆弱性に対して、すでにパッチは提供されていても、その適用が行われていない、商業組織や政府機関のネットワークが攻撃にさらされている。

Forbes Global 2000 の 92% が、そして全世界における 40万以上の組織が、Supply Chain Management (SCM) や、Enterprise Resource Planning (ERP)、Product Lifecycle Management (PLM)、Customer Relationship Management (CRM) などの分野で、SAP のエンタープライズ・アプリケーションを使用している。SAP は、クラウド・セキュリティ企業である Onapsis 社とともに、脆弱性を狙う継続的な攻撃ついて警告を発している。

また、アメリカの CISA (Cybersecurity and Infrastructure Security Agency) と、ドイツのサイバー・セキュリティ機関である BSI (Bundesamt für Sicherheit in der Informationstechnik) は協力して、SAP ユーザー企業に対してパッチの導入を推奨し、安全性が確保されていないアプリの存在を調査するよう警告している。

この記事によると、セキュリティ会社である Onapsis が SAPと協力し収集・公開した脅威情報では、該当する脆弱性による侵害は認識されていないとのことです。ただし、SAP の顧客の環境には、インターネット経由でアクセス可能な、安全性が確保されていないアプリケーションが依然として存在しており侵入の危険にさらされていることも明らかだとされています。

本文の図には、CVE-2020-6287CVE-2020-6207CVE-2018-2380CVE-2016-9563CVE-2016-3976CVE-2010-5326 が列挙されていて、中にはクリティカルなものも含まます。また、それとは別にブルートフォース攻撃もあるようで、アップデートやパッチが急がれます。ASP R3 には、2025年にサポートが終了するという話もあります。このタイミングで、ベンダー・ロックインから抜け出そうとするユーザーも多いかもしれませんね。ひと目で、金持ちと分かってしまうプロダクトは、ランサムウェアの標的にもなりやすいという、新たなリスクが生じているのかもしれません。

%d bloggers like this: