SAP Patches Critical Vulnerabilities in Commerce, Manufacturing Execution Products
2022/10/12 SecurityWeek — ドイツのエンタープライズ・ソフトウェアメーカーである SAP は、October 2022 Security Patch Day を公開し、深刻な2つの脆弱性 Hot News を含む、新規 15件/更新 2件の脆弱性に対応した。このうち最も深刻なものは CVE-2022-39802 (CVSS:9.9) で、Manufacturing Execution におけるファイル・パスのトラバーサルとされている。この脆弱性は、作業指示書やモデルを表示するためのプラグインである、Work Instruction Viewer/Visual Test and Repair に影響する。
エンタープライズ・アプリケーションを保護している Onapsis は、「この情報を要求する URL には、リモート・サーバ上のディレクトリを任意にトラバースするための、操作可能なファイルパス・パラメーターが含まれていた。各ディレクトリ内のファイル・コンテンツは、NetWeaver プロセス/サービスを実行している OS ユーザーの、ユーザー・コンテキストで読み取れる」と説明している。
2つ目の深刻な脆弱性である CVE-2022-41204 (CVSS:9.6) は、SAP Commerce のログイン・フォームに影響し、URL リダイレクトによるアカウントの乗っ取りにつながる可能性がある。
この問題は、ログイン・フォームの送信時に呼び出される、URL が適切にサニタイズされていないことに起因する。攻撃者は、そこにリダイレクト情報を注入することで、攻撃者が管理するサーバに機密情報を送信することが可能になる。
Onapsis は、「攻撃者は、エクスプロイトを開始するための特権は不要だが、エクスプロイトを実行するためには、操作されたログイン・フォームを開く悪意のリンクをユーザーにクリックさせる必要がある。攻撃者は、フィッシング技術を用いて操作した URL を、SAP Commerce の正規ユーザーに配布することで、ユーザーを騙して一連のリンクをクリックさせることができる」と説明している。
SAP は October 2022 Security Patch Day で、6件の深刻度 High の脆弱性 (新規 5件/更新 1件) に対応した。そのうちの 3件は BusinessObjects の情報漏洩の脆弱性に対処するもので、1件は SQL Anywhere/IQ のバッファ・オーバーフローに対処するものである。
残りの 2件では、3D Visual Enterprise Viewer (17件) /3D Visual Enterprise Author (26件) の複数のセキュリティ脆弱性に対処している。これらの脆弱性の悪用に成功した攻撃者は、ユーザーを騙して 3D Visual Enterprise Viewer/Author で操作されたファイルを開かせ、任意のコード実行やサービス拒否 (DoS) を引き起こすことが可能になる。
今週に SAP が発表したアドバイザリの残りの 9件は、BusinessObjects/Enable Now/Commerce/Customer Data Cloud (Gigya) /Data Services Management Console などにおける、情報漏えい/クロスサイト・スクリプティング (XSS) の深刻度 Medium の脆弱性に対処するものだ。
Onapsis によると、SAP は 9月13日から 10月11日にかけて、これらの他にも 6件のセキュリティ・アドバイザリを発表しているとのことだ。
最近の SAP 関連のポストとしては、6月15日の「SAP の6月定例セキュリティ・パッチ:NetWeaver の深刻な脆弱性などに対応」や、8月19日の「SAP の深刻な脆弱性 CVE-2022-22536:Black Hat での発表後に活発に悪用される」、「CISA 警告 22/08/18:SAP などの7つの深刻な脆弱性を悪用リスト KEV に追加」などがあります。よろしければ、SAP で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.