「SAP NetWeaver AS Java」に深刻な脆弱性、月例パッチで対処

Catalin Cimpanu (ZDNET.com) 翻訳校正: 湯本牧子 高森郁哉 (ガリレオ)

2020-07-15 11:48

 ビジネスソフトウェア大手の独SAPは現地時間7月14日、同社顧客の多くに影響する深刻な脆弱性のパッチを公開した。クラウドセキュリティ企業Onapsisによると、この脆弱性「RECON(Remotely Exploitable Code On NetWeaver)」は、企業が容易にハッキングされる危険をもたらすという。Onapsisは5月にこの脆弱性を発見し、修正を促すために問題をSAPに報告した。

SAPのロゴ
提供:ZDNet

 Onapsisによると、悪意ある攻撃の実行者はRECONを利用することで、インターネット上で脆弱なSAPアプリケーションに対して最大限の特権を伴うSAPユーザーアカウントを作成でき、ハッキングした企業のSAPリソースを完全に乗っ取ることができるという。

 この脆弱性は悪用しやすく、「SAP NetWeaver」のJavaテクノロジースタックを実行するすべてのSAPアプリケーションに含まれるデフォルトコンポーネント、つまり「SAP NetWeaver Application Server(AS)」のコンポーネント部分である「LM Configuration Wizard」に存在する。

 このコンポーネントは、「SAP S/4HANA」「SAP SCM」「SAP CRM」「SAP PI」「SAP Enterprise Portal」「SAP Solution Manager(SolMan)」など、SAPの広く普及している製品の一部で使われている。

 SAP NetWeaverのJavaテクノロジースタックを実行している他のSAPアプリケーションも影響を受ける。Onapsisの推計によると、影響を受けるSAP顧客の数は約4万にのぼるという。ただし、そのすべてがインターネット上で直接、脆弱なアプリケーションを危険にさらしているわけではない。

 Onapsisがスキャンしたところ、現時点でRECONに対して脆弱なインターネットに直接さらされていたSAPシステムは、約2500件確認されたという。

 この脆弱性は、共通脆弱性評価システム(CVSS)で最も深刻な「10」とレーティングされている。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]