CVE-2024-33006: Critical SAP Vulnerability Exposes Systems to Complete Takeover
2024/05/14 SecurityOnline — ドイツの大手企業ソフトウェア SAP は、2024年5月の SAP Patch Day の一環として、14件の新たなセキュリティ・ノートと、すでにリリースされている3件のノートに対して、アップデートをリリースすることを発表した。最も重要なセキュリティ・ノートは、SAP NetWeaver Application Server ABAP および ABAP Platform に存在する、深刻な脆弱性 CVE-2024-33006 (CVSS:9.6) に対処するものだ。この脆弱性の悪用に成功した未認証の攻撃者は、悪意のファイルをサーバにアップロードすることが可能となり、それに被害者がアクセスする際に、システムを危険にさらす可能性が生じる。
脆弱性 CVE-2024-33006 の影響が及ぶ範囲は、SAP_BASIS のバージョン 700/701/702/731/740/750/751/752/753/754/755/756/757/758 である。
また、SAP CX Commerce では、脆弱性 CVE-2019-17495/CVE-2022-36364 が対処されている。これらの脆弱性についても、パッチを適用せずに放置すると、深刻なリスクをもたらす可能性があるため、早急なアップデートの必要性が強調されている。
SAP は、SAP Business Client 内の Chromium ブラウザ・コンポーネントに関する、Hot News セキュリティ・ノートも更新している。また、SAP Process Integration の Enterprise Services Repository と、SAP Process Integration の脆弱性に関する、Medium レベルの2件のノートも更新されている。
高優先度のノートは、SAP BusinessObjects Business Intelligence Platform における、クロス・サイト・スクリプティング (XSS) の脆弱性 CVE-2024-28165 (CVSS:8.1)に対処するためのものだ。この脆弱性の悪用に成功した攻撃者は、他のユーザーが閲覧する Web ページに悪意のスクリプトを注入することが可能となり、データ侵害につながる可能性が生じる。
残りのノートは、以下のような SAP 製品に影響を及ぼす、Medium/Low レベルの脆弱性のためのものである:
- SAP S/4HANA
- SAP My Travel Requests
- SAP Replication Server
- SAP BusinessObjects Business Intelligence Platform
- SAP Global Label Management
- SAP Bank Account Management
- SAP UI5
SAP 製品を使用している組織に強く推奨されるのは、一連のパッチを速やかに適用することで、潜在的なリスクを軽減し、システムの完全性を確保することである。
SAP のセキュリティ・アドバイザリですが、文中のリンクをクリックしても、同社のログイン画面が表示され、目的の情報にたどり着くことができませんでした。お隣のキュレーション・チームに聞いてみたところ、今後はアカウントが必要になるらしいと言っていました。ただし、VulDB で情報は取れるとも言っていました。よろしければ、SAP で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.