SAPのサーバー向けソフトウェアに潜む深刻な脆弱性「CVE-2020-6207」を探し出そうとする、自動化された偵察行動が検出された。その1週間前には、同脆弱性を突く概念実証(PoC)コードがオンライン上で公開されていた。
同脆弱性は「SAP Solution Manager」(SolMan)のバージョン7.2に存在する。
また同脆弱性は、認証チェックの欠如によって引き起こされるものであり、共通脆弱性評価システム(CVSS)のセキュリティスコアで最も高い10.0が付与されている。
SolManは、オンプレミスやハイブリッド、クラウドのITシステムを一元的に管理するためのアプリケーションだ。サイバーセキュリティ企業のOnapsisは2020年8月、「Black Hat USA」でこの脆弱性について語った際に、SolManは「SAP製品におけるテクノロジー面での中核だ」と説明していた。
SolManの「End user Experience Monitoring」(EEM)機能は認証関連の問題を抱えている。Onapsisによると、EEMは他のシステム上にスクリプトをデプロイする目的でも利用できるため、この脆弱性が悪用された場合、SolManに接続されている「あらゆるシステム」がリモートコード実行(RCE)を介して乗っ取られる可能性もあるという。
SAPは2020年3月に、CVE-2020-6207に対する修正パッチを発行している(SAP Security Note #2890213)。しかし、実際に機能するPoCエクスプロイトコードの公開によって、パッチを適用していないサーバーは全てリスクが高まったことになる。
セキュリティリサーチャーのDmitry Chastuhin氏は1月14日、教育目的のプロジェクトとして、同脆弱性を突くPoCを公開した。同氏によると、公開したスクリプトは「SAPのEEMサーブレットで認証処理が欠落していることをチェックし、その弱点を突く」ものだという。
Onapsisは、自動化されたツールによると考えられる「大量のリクエスト」が既に検出されており、それらは重大な脆弱性を抱えたままのSAPシステムを見つけ出そうとしていると米ZDNetに述べた。同社は、PoCコードが公開された直後にこの種のツールが開発されたと確信している。
これらのリクエストは現在のところ、主に欧州とアジアから到来しており、さまざまなIPから送出されていることが記録されているという。
このパッチが企業のIT担当者によって適用されているのであれば、心配する必要はない。しかし、パッチがまだ適用されておらず、SolManがオンラインでアクセスできるようになっている場合、このような自動化ツールが生み出された以上、管理者は同脆弱性への対処をできる限り迅速に実施するべきだろう。
米ZDNetはSAPにコメントを求めているが現時点で回答は得られていない。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
