SAP の6月定例セキュリティ・パッチ:NetWeaver の深刻な脆弱性などに対応

SAP Patches High-Severity NetWeaver Vulnerabilities

2022/06/15 SecurityWeek — 6月14日に SAPは、June 2022 Security Patch Day セキュリティ・アドバイザリを公開し、新規 10件/更新 2件の脆弱性に対応した。SAP のアドバイザリで、深刻度の高い Hot News に分類されたうち、最も深刻なものは 2018年4月のアドバイザリに対する更新であり、そこには SAP Business Client の Chrome ベース・ブラウザ向けに配信された更新も含まれる。

新たに公開されたアドバイザリの中で最も深刻なのは、NetWeaver/ABAP Platform の SAP Router プロキシに関する、不適切なアクセス制御の脆弱性 CVE-2022-27668 (CVSS:8.6) に関するものだ。

ビジネス・アプリケーション・セキュリティ企業の Onapsis は、「ルート許可テーブルを曖昧に設定すると、認証されていない攻撃者が保護をバイパスし、SAP Router に接続されたシステム上で管理コマンドを実行し、システムの可用性を損なう可能性がある」と説明している。

この問題に関しては、ルート許可テーブルの防御や、[P] および [S] 入力からのワイルドカード削除という回避策が存在するが、早急に利用可能なパッチを適用することがユーザーに推奨されている。

さらに Onapsis は、SAP の NetWeaver AS Java における不適切なアクセス制御への対処にも触れている。これはシステム侵害につながり得る、もう一つの深刻な脆弱性(CVSS:8.2) であり、この脆弱性のセキュリティ・アドバイザリは 2022年5月10日以降に、他の4つのアドバイザリと一緒に公開されている。

また SAP は、June 2022 Security Patch Day で、PowerDesigner Proxy 16.7 における権限昇格の脆弱性 CVE-2022-31590 (CVSS:7.8) のアドバイザリも公開している。

June 2022 Security Patch Day で公開された、その他の新規/更新セキュリティ・アドバイリの深刻度は、すべて  Medium/Low だった。

先週に CISA は、SAP NetWeaver の3つの脆弱性 CVE-2021-38163/CVE-2016-2386/CVE-2016-2388 を Known Exploited Vulnerabilities Catalog に追加している。

SAP に関連する情報として、今年にないってからの気になるものには、2022年2月9日の「CISA 警告:SAP テクノロジー・スタックの重要な部分に深刻な脆弱性」と、4月6日の「SAP を使用する政府機関などへの攻撃が止まらない」、4月13日の「SAP の Spring4Shell 情報が公開:全体で 30件以上のアドバイザリを提供」などがあります。よろしければ、ご参照ください。

%d bloggers like this: