CISA 警告:SAP テクノロジー・スタックの重要な部分に深刻な脆弱性

CISA warns admins to patch maximum severity SAP vulnerability

2022/02/09 BleepingComputer — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Internet Communication Manager (ICM) を用いて SAP ビジネス・アプリケーションに影響を与える、一連の深刻なセキュリティ上の欠陥にパッチを適用するよう、管理者に警告しました。なお、この脆弱性は、ICMAD (Internet Communication Manager Advanced Desync) と呼ばれている。

CISA は、これらの脆弱性にパッチを適用しない場合、脆弱なエンタープライズ・サーバーが生じ、データの盗難/金融詐欺のリスク/ミッションクリティカル・ビジネスプロセスの中断/ランサムウェアの攻撃などの、業務の停止にいたる可能性があるとしている。

ICMAD のバグは大半の SAP 製品に影響

昨日に、ICMAD の3つのバグのうち、最大の深刻度の問題と評価されている CVE-2022-22536 を発見/報告した Onapsis Research Labs は、SAP の顧客に対して直ちにパッチを当てるよう注意を促した (他の2つのバグは CVE-2022-22532/CVE-2022-22533 として追跡されている)。

SAP Product Security Response Team (PSRT) は Onapsis と協力し、これらの脆弱性に対応するセキュリティ・パッチを作成し、今月の Patch Tuesdayである 2月8日にリリースした。ICMAD は、SAP のユーザー/ビジネス情報/プロセスを標的とし、認証情報の窃取/サービス拒否の誘発/リモートコードの実行を可能にし、パッチが適用されていない SAP アプリケーションの完全な侵害を許すバグである。

Onapsis は、「ICM は、SAP NetWeaver アプリケーションサーバの最も重要なコンポーネントの1つである。大半の SAP 製品に搭載されており、SAP アプリケーションとインターネットを接続するという、SAP テクノロジース・タック全体の重要な部分である。脅威アクターは、保護されていないシステムにおいて、最も深刻な脆弱性 (CVSSv3 10.0) を容易に悪用できる。悪用方法は簡単であり、事前の認証や前提条件は必要なく、SAP アプリケーションにアクセスするために最も広く使用されている、HTTP (S) を介してペイロードを送信できる」と述べている。

現時点で ICMAD エクスプロイトを介して侵入された SAP の顧客はいない

SAP の Director of Security Response である Vic Chung は、これらの脆弱性を介してネットワークが侵害された顧客は、現在のところ認識されていないと述べている。ただし。すべての影響を受けた組織に対して、可能な限り早急にパッチを適用することを 強く推奨すると付け加えている。SAP の顧客は、Onapsis のセキュリティ研究者が開発したオープンソース・ツールを使って、ICMAD の脆弱性をスキャンできる。

ドイツのビジネス・ソフトウェア開発企業である SAP は、SAP Commerce/SAP Data Intelligence 3/SAP Dynamic Authorization Management/Internet of Things Edge Platform/SAP Customer Checkout で使用されている、Apache Log4j 2 コンポーネントに関連する脆弱性にもパッチを適用した。これらの脆弱性は、パッチが適用されていないソフトウェアを実行しているシステム上で、リモートの脅威アクターにコード実行を許してしまうものだ。

SAP に関するトピックは、それほど多くなく、2021年4月に「SAP を使用する政府機関などへの攻撃が止まらない」という記事があるのみでした。そして、この記事には、「Forbes Global 2000 の 92% が、そして全世界における 40万以上の組織が、SCM/ERP/PLM/CRM などの分野で、SAP のエンタープライズ・アプリケーションを使用している」と記されています。今回の脆弱性に関しては、悪用の形跡がないようですが、いまのうちにパッチが適用されると良いですね。

%d bloggers like this: