SAP の Spring4Shell 情報が公開:全体で 30件以上のアドバイザリを提供

SAP Releases Patches for Spring4Shell Vulnerability

2022/04/13 SecurityWeek — 4月13日にドイツのソフトウェア・メーカー SAP は、April 2022 Security Patch Day で Spring4Shell 脆弱性に対処を含む、30以上の新規/更新のセキュリティ・アドバイザリを公開した。この Spring4Shellと呼ばれる脆弱性 CVE-2022-22965 は、世界で最も人気の Java アプリ開発フレームワークである Spring に存在し、リモートでコード実行を許す可能性がある。セキュリティ研究者たちは、すでにこの脆弱性を悪用しようとする動きを観測している。

SAP は Spring4Shell 関連として、3つのセキュリティ・アドバイザリを公開しているが、いずれも同社の Hot News として格付けされており、そのうち2つは HANA Extended Application Service と Customer Checkout の、CVE-2022-22965に対処するものとなる。しかし、3つ目のアドバイザリは、Spring4Shell に関する中心的なものである、この脆弱性による影響が広範囲に及ぶと、SAP が予想していることがうかがえる。

今月に SAP は、4つの Hot News を公開したが、いずれも更新された情報である。そのうちの1つは、Business Client の Chromium アップデートであり、もう1つは NetWeaver/Content Server/Web Dispatcher のリクエスト・スマグリングとリクエスト・コンカチネーションの問題である。残りの2つも、3月の Patch Day 対する更新であり、Manufacturing Integration and Intelligence のコード・インジェクションの脆弱性 CVE-2021-21480 に対処している。

アプリケーション・セキュリティ企業の Onapsis は、このバグについて、ユーザーが Self Service Composition Environment (SSCE) を用いてカスタマイズしたダッシュボードを、サーバー上に JSP として保存する機能に関連すると説明している。

Onapsis によると、サーバーに転送される前の JSP に、攻撃者によるコードの注入が可能であり、その結果として、JSP を開くと同時に、被害者のサーバー上でコードが実行されることになる。それにより、攻撃者は、サーバー上のファイルの読取/変更/削除が可能になる。

Onapsis は、「開発者として認証された攻撃者は、アプリケーションを用いたファイルのダイレクトなアップロードが可能である。したがって、アプリケーションをホストするサーバーを、完全に侵害する OS コマンド実行に至ることになる」と説明している。

今月、SAP は、新規4件と更新3件を含む、高い深刻度を持つセキュリティ・ノート7件を発表した。

新たに優先される脆弱性にとしては、Business Intelligence Platform における潜在的な情報漏洩のバグ、Business Intelligence Update における情報漏洩の問題、Netweaver におけるサービス拒否 (DoS) の欠陥、SAP Commerce の Apache Tomcat コンポーネントにおける権限昇格の脆弱性などが取り上げられている。

各ベンダーによる Spring4Shell 対応ですが、VMwareMicrosoft に続いて、これで3件目となります。そして、気になるのが、4月6日の「Mirai と Spring4Shell:シンガポールに集中する攻撃はグローバル展開への予兆か?」という記事ですが、Mirai の狙いは DDoS とのことです。また、その前日の「CISA 警告:積極的に悪用されている Spring4Shell などを脆弱性リストに追加」にあるように、CVE-2022-22965 は、悪用が確認された脆弱性のリストに加えられています。

%d bloggers like this: