SAPの「SolMan」に存在する深刻な脆弱性を突くエクスプロイトコードが出回る

Charlie Osborne (ZDNET.com) 翻訳校正: 編集部

2021-01-22 10:22

 SAPのサーバー向けソフトウェアに潜む深刻な脆弱性「CVE-2020-6207」を探し出そうとする、自動化された偵察行動が検出された。その1週間前には、同脆弱性を突く概念実証(PoC)コードがオンライン上で公開されていた。

 同脆弱性は「SAP Solution Manager」(SolMan)のバージョン7.2に存在する。

 また同脆弱性は、認証チェックの欠如によって引き起こされるものであり、共通脆弱性評価システム(CVSS)のセキュリティスコアで最も高い10.0が付与されている。

 SolManは、オンプレミスやハイブリッド、クラウドのITシステムを一元的に管理するためのアプリケーションだ。サイバーセキュリティ企業のOnapsisは2020年8月、「Black Hat USA」でこの脆弱性について語った際に、SolManは「SAP製品におけるテクノロジー面での中核だ」と説明していた。

 SolManの「End user Experience Monitoring」(EEM)機能は認証関連の問題を抱えている。Onapsisによると、EEMは他のシステム上にスクリプトをデプロイする目的でも利用できるため、この脆弱性が悪用された場合、SolManに接続されている「あらゆるシステム」がリモートコード実行(RCE)を介して乗っ取られる可能性もあるという。

 SAPは2020年3月に、CVE-2020-6207に対する修正パッチを発行している(SAP Security Note #2890213)。しかし、実際に機能するPoCエクスプロイトコードの公開によって、パッチを適用していないサーバーは全てリスクが高まったことになる。

 セキュリティリサーチャーのDmitry Chastuhin氏は1月14日、教育目的のプロジェクトとして、同脆弱性を突くPoCを公開した。同氏によると、公開したスクリプトは「SAPのEEMサーブレットで認証処理が欠落していることをチェックし、その弱点を突く」ものだという。

 Onapsisは、自動化されたツールによると考えられる「大量のリクエスト」が既に検出されており、それらは重大な脆弱性を抱えたままのSAPシステムを見つけ出そうとしていると米ZDNetに述べた。同社は、PoCコードが公開された直後にこの種のツールが開発されたと確信している。

 これらのリクエストは現在のところ、主に欧州とアジアから到来しており、さまざまなIPから送出されていることが記録されているという。

 このパッチが企業のIT担当者によって適用されているのであれば、心配する必要はない。しかし、パッチがまだ適用されておらず、SolManがオンラインでアクセスできるようになっている場合、このような自動化ツールが生み出された以上、管理者は同脆弱性への対処をできる限り迅速に実施するべきだろう。

 米ZDNetはSAPにコメントを求めているが現時点で回答は得られていない。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    従来型のセキュリティでは太刀打ちできない「生成AIによるサイバー攻撃」撃退法のススメ

  2. セキュリティ

    マンガでわかる脆弱性“診断”と脆弱性“管理”の違い--セキュリティ体制の強化に脆弱性管理ツールの活用

  3. セキュリティ

    情報セキュリティに対する懸念を解消、「ISMS認証」取得の検討から審査当日までのTo Doリスト

  4. セキュリティ

    ISMSとPマークは何が違うのか--第三者認証取得を目指す企業が最初に理解すべきこと

  5. セキュリティ

    クラウドセキュリティ管理導入による投資収益率(ROI)は264%--米フォレスター調査レポート

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]