SAP の深刻な脆弱性 CVE-2022-22536：Black Hat での発表後に活発に悪用される

SAP Vulnerability Exploited in Attacks After Details Disclosed at Hacker Conferences

2022/08/19 SecurityWeek — 米国 Cybersecurity and Infrastructure Security Agency (CISA) は SAP の深刻な脆弱性について、ハッカーカンファレンス Black Hat および Def Con で詳細が公開されてから１週間足らずで、Known Exploited Vulnerabilities Catalog に追加した。木曜日に CISA は、７つの脆弱性をカタログに追加し、9月8日までに対処するよう連邦政府機関に指示した。新たに追加された脆弱性には、野放しでの悪用に関するオフィシャルな報告がないものもあるが、悪用に関する信頼できる情報を得た場合にのみ、CISA は CVE をカタログに追加すると明言している。

CISA のリストに追加された SAP の脆弱性 CVE-2022-22536 は、NetWeaver Application Server ABAP／NetWeaver Application Server Java／ABAP Platform／ Content Server 7.53／Web Dispatcher である、2月にパッチが適用されている。

ビジネス・クリティカルなアプリケーションの保護を専門とする Onapsis は、その当時には、CVE-2022-22536 と CVE-2022-22532 が一緒に悪用される可能性があると警告したが、CVE-2022-22532 については、悪用されるという話はないと訂正している。

この２つのメモリ破壊の脆弱性は、Onapsis の研究者である Martin Doyhenard が、8月10日の Black Hat および 8月13日の Def Con で、SAP の HTTP サーバーにおけるプロセス間通信の悪用というプレゼンテーションで詳細を発表している。また、Onapsis は、その調査結果を詳述した 18 ページのペーパーも発表している。

Doyhenard は自身の研究論文で、「CVE-2022-22536 と CVE-2022-22532 は、どちらもリモートからの悪用が可能であり、未認証の攻撃者による SAP の完全な侵害を引き起こす可能性がる」と記している。

CVE-2022-22536 を悪用した攻撃に関する公開情報はないようだが、CISA は 2月の時点で、悪用に成功した攻撃者による、機密データの盗難／金融詐欺／基幹業務プロセスの混乱／ランサムウェア展開などを、許してしまう可能性があると警告している。

Onapsis の CTO である JP Perez-Etchegoyen は、「この数日において、特に CVE-2022-22536 に関連する脅威活動が増加しており、引き続き調査に取り組んでいるが、攻撃者の帰属について評価するのは時期尚早である。この脆弱性の悪用に成功した攻撃者は、ユーザー・セッションを盗み出すことで、最終的には、あらゆるビジネス・アプリケーションを危険にさらすことができる」と SecurityWeek に述べている。

彼は、「Onapsis は、SAP／CISA／CERT など連携し、すべての SAP 顧客が、この深刻なリスクを理解した後に、管理するために必要な情報を得られるようにしている。それぞれのシステムでの脆弱性の有無を自動的に評価する、オープンソースのスキャナもリリースした。そこでは、リアルタイムの脅威インテリジェンスを用いて、SAP システムの脆弱性を継続的に評価する必要性が明確に示される」と付け加えている。

また、CISA は、Microsoft 製品に影響を及ぼす２つの脆弱性 CVE-2022-21971／CVE-2022-26923 を Known Exploited Vulnerabilities Catalog に追加したが、これらの脆弱性が実際に悪用されたという報告は無いとしている。

そのうちの CVE-2022-21971 は、Windows に存在するリモートコード実行の脆弱性であり、Microsoft は２月にパッチを適用している。同社のアドバイザリにが、現時点で悪用などの情報は公開はされておらず、悪用の可能性は低いとされている。しかし、３月以降においては、PoC エクスプロイトの利用が可能になっている。

Microsoft の２つ目の脆弱性 CVE-2022-26923 は、Active Directory Domain Services に影響をおよぼす権限昇格の問題である。同社は５月にパッチをリリースしたが、その数日後には PoC エクスプロイトも公開されている。

CISA は、先日の Apple iOS／macOS の２つの脆弱性と、Google Chrome の脆弱性に加えて、Palo Alto Networks のアプライアンスに影響を与える 2017年の脆弱性 CVE-2017-15944 も、KEV リストに追加している。

脆弱性 CVE-2022-22536 ですが、2022年2月9日の「CISA 警告：SAP テクノロジー・スタックの重要な部分に深刻な脆弱性」に詳細が記されています。この脆弱性は、ICMAD (Internet Communication Manager Advanced Desync) と呼ばれ、CISA も警告を出したとのことですが、いま調べてみたら、悪用脆弱性リスト KEV に追加されたのは 8月18日となっていました。この Black Hat での発表後に悪用が始まり、連邦政府組織に対してもパッチ適用が指示されたということなのでしょう。お隣のキュレーションチームに確認したら、2月10日付けでレポートをアップしているとのことでした。