ソフトウェア ベンダーの SAP は、19 の脆弱性に対するセキュリティ アップデートをリリースしました。そのうち 5 つは重大と評価されています。つまり、管理者は関連するリスクを軽減するために、できるだけ早く適用する必要があります。
今月修正された欠陥は多くの製品に影響しますが、重大な重大度のバグは SAP Business Objects Business Intelligence Platform (CMC) と SAP NetWeaver に影響します。
具体的には、今回修正された 5 つの欠陥は次のとおりです。
- CVE-2023-25616 : SAP Business Intelligence Platform に重大な重大度 (CVSS v3: 9.9) のコード インジェクションの脆弱性があり、特権ユーザーのみが利用できるリソースに攻撃者がアクセスできるようになります。この脆弱性は、バージョン 420 および 430 に影響します。
- CVE-2023-23857 : 重大度 (CVSS v3: 9.8) の情報漏えい、データ操作、および SAP NetWeaver AS for Java バージョン 7.50 に影響を与える DoS 欠陥。このバグにより、認証されていない攻撃者は、オープン インターフェイスに接続し、ディレクトリ API を介してサービスにアクセスすることにより、不正な操作を実行できます。
- CVE-2023-27269 : SAP NetWeaver Application Server for ABAP に影響を与える重大な重大度 (CVSS v3: 9.6) のディレクトリ トラバーサルの問題。この欠陥により、管理者以外のユーザーがシステム ファイルを上書きできるようになります。これは、バージョン 700、701、702、731、740、750、751、752、753、754、755、756、757、および 791 に影響します。
- CVE-2023-27500 : SAP NetWeaver AS for ABAP で重大な重大度 (CVSS v3: 9.6) のディレクトリ トラバーサル。攻撃者は SAPRSBRO の欠陥を悪用してシステム ファイルを上書きし、脆弱なエンドポイントに損害を与える可能性があります。バージョン 700、701、702、731、740、750、751、752、753、754、755、756、757 に影響します。
- CVE-2023-25617 : SAP Business Objects Business Intelligence Platform、バージョン 420 および 430 における重大な重大度 (CVSS v3: 9.0) のコマンド実行の脆弱性。この脆弱性により、リモートの攻撃者は、BI Launchpad、中央管理を使用して、OS 上で任意のコマンドを実行することができます。コンソール、または特定の条件下でのパブリック Java SDK に基づくカスタム アプリケーション。
上記とは別に、SAP の月次セキュリティ パッチでは、重大度の高い 4 つの欠陥と、重大度が中程度の脆弱性 10 件が修正されました。
今すぐパッチを当てる
SAP 製品のセキュリティ上の欠陥は、世界中の大規模な組織で一般的に使用されており、非常に価値のあるシステムへのエントリ ポイントとして機能する可能性があるため、攻撃者にとって格好の標的となります。
SAP は世界最大の ERP ベンダーであり、180 か国に 425,000 の顧客を持ち、世界市場シェアの 24% を占めています。 Forbes Global 2000 の 90% 以上が、ERP、SCM、PLM、および CRM 製品を使用しています。
2022 年 2 月、米国サイバーセキュリティおよびインフラストラクチャ セキュリティ エージェンシー (CISA) は、SAP ビジネス アプリに影響を与える一連の深刻な脆弱性にパッチを適用して、データの盗難、ランサムウェア攻撃、およびミッション クリティカルなプロセスと運用の中断を防ぐよう管理者に要請しました。
2021 年 4 月、脅威アクターが、パッチが適用されていない SAP システムの修正済みの欠陥を攻撃して、企業ネットワークへのアクセスを取得していることが確認されました。
Comments