CVE-2024-22131 (CVSS 9.1): Critical flaws affect SAP products
2024/02/13 SecurityOnline — ドイツのソフトウェア大手である SAP は、2024年2 月の Security Patch Day をリリースし、合計で 13 件の新規セキュリティ・ノートと、3件の更新セキュリティ・ノートを公開した。これらのパッチは、SAP システムに依存している企業に重大なリスクをもたらす2つの脆弱性を含む、さまざまな脆弱性に対処している。
これらの重要なパッチの中で、SAP が最も深刻度の高い “Hot News” に分類した2つのパッチは以下の通り:
- SAP Business Client の Chrome ベースのブラウザ:このアップデートは CVSS スコア 10.0 で、2018年4月以前のパッチのアップデートだ。SAP Business Client のブラウザ・コンポーネントに存在する致命的な欠陥で、壊滅的な攻撃にさらされる可能性がある。
- SAP ABA のコード・インジェクションの脆弱性 CVE-2024-22131 (CVSS 9.1): SAP Application Basis (ABA) レイヤーの深刻な脆弱性であり、リモート実行権限を持つユーザーとして認証された攻撃者に、脆弱なインターフェイスの悪用をゆるす可能性がある。それにより攻撃者は、アプリケーション関数を呼び出して、機密性の高いユーザー/ビジネス・データの読み取りや変更を行い、システム全体が利用不能になるまで、不正なアクションを実行する可能性がある。
SAP は、5つの “High” に分類された脆弱性も修正した。これらの脆弱性は、以下の製品に影響する:
- SAP NetWeaver AS Java
- SAP CRM
- SAP IDES Systems
- SAP Cloud Connector
残りのアップデートは、以下のような分野における “Medium” の深刻度の脆弱性を対象としている:
- SAP Bank Account Management
- SAP Companion
- SAP NetWeaver Application Server ABAP and Business Client for HTML
- SAP Fiori apps
- SAP Master Data Governance Material
- SAP CRM
今回の SAP Security Patch Day では、非常に多くのパッチが提供され、サイバー攻撃の脅威が常に存在することを浮き彫りにしている。SAP システムを使用しているのであれば、早急にこれらのパッチを適用する必要がある。SAP は、さまざまな深刻度の脆弱性に対処することで、顧客を差し迫った脅威から守るだけでなく、グローバルなビジネス・コミュニティ全体のセキュリティ体制を強化する。
SAP の 2024年2 月の Security Patch Day が公開されましたが、そのうちの2件は深刻度が高いとされています。Chrome に関連する脆弱性には、SAP のアドバイザリでも CVE が表記されていませんが、複数の CVE が含まれているのでしょうかね?
IoT OT Security News 
You must be logged in to post a comment.