ビジネスソフトウェア大手の独SAPは現地時間7月14日、同社顧客の多くに影響する深刻な脆弱性のパッチを公開した。クラウドセキュリティ企業Onapsisによると、この脆弱性「RECON(Remotely Exploitable Code On NetWeaver)」は、企業が容易にハッキングされる危険をもたらすという。Onapsisは5月にこの脆弱性を発見し、修正を促すために問題をSAPに報告した。
提供:ZDNet
Onapsisによると、悪意ある攻撃の実行者はRECONを利用することで、インターネット上で脆弱なSAPアプリケーションに対して最大限の特権を伴うSAPユーザーアカウントを作成でき、ハッキングした企業のSAPリソースを完全に乗っ取ることができるという。
この脆弱性は悪用しやすく、「SAP NetWeaver」のJavaテクノロジースタックを実行するすべてのSAPアプリケーションに含まれるデフォルトコンポーネント、つまり「SAP NetWeaver Application Server(AS)」のコンポーネント部分である「LM Configuration Wizard」に存在する。
このコンポーネントは、「SAP S/4HANA」「SAP SCM」「SAP CRM」「SAP PI」「SAP Enterprise Portal」「SAP Solution Manager(SolMan)」など、SAPの広く普及している製品の一部で使われている。
SAP NetWeaverのJavaテクノロジースタックを実行している他のSAPアプリケーションも影響を受ける。Onapsisの推計によると、影響を受けるSAP顧客の数は約4万にのぼるという。ただし、そのすべてがインターネット上で直接、脆弱なアプリケーションを危険にさらしているわけではない。
Onapsisがスキャンしたところ、現時点でRECONに対して脆弱なインターネットに直接さらされていたSAPシステムは、約2500件確認されたという。
この脆弱性は、共通脆弱性評価システム(CVSS)で最も深刻な「10」とレーティングされている。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
