SAP

SAPは2024年8月のセキュリティパッチパッケージをリリースし、リモート攻撃者がシステムを完全に侵害する可能性のある重大な認証バイパスを含む17の脆弱性に対処した。

CVE-2024-41730として追跡され、CVSS v3.1システムによって9.8と評価されたこの欠陥は、SAP BusinessObjects Business Intelligence Platformバージョン430および440に影響を与える「認証チェックの欠落」バグであり、特定の条件下で悪用可能である。

「SAP BusinessObjects Business Intelligence Platform では、Enterprise 認証で Single Signed On が有効になっている場合、不正なユーザが REST エンドポイントを使用してログオン トークンを取得できます。

「攻撃者はシステムを完全に侵害することができ、機密性、完全性、および可用性に高い影響を与えます。

今回対処された2つ目の重大な脆弱性(CVSS v3.1スコア:9.1)は、CVE-2024-29415で、バージョン4.11.130より古いSAP Build Appsでビルドされたアプリケーションにおけるサーバーサイドリクエストフォージェリの欠陥です。

この欠陥は、IPアドレスがパブリックかプライベートかをチェックするNode.jsの「IP」パッケージの弱点に関するものです。8進数表現が使用されている場合、「127.0.0.1」をパブリックでグローバルにルーティング可能なアドレスとして誤って認識します。

この欠陥は、CVE-2023-42282として追跡されている同様の問題の修正が不完全であったために存在するもので、一部のケースに攻撃への脆弱性が残されていた。

今月のSAPのニュースレターに掲載された残りの修正のうち、「高重要度」(CVSS v3.1スコア:7.4~8.2)に分類される4件の概要は以下の通り:

  • CVE-2024-42374– SAP BEx Web Java Runtime Export Web Service における XML インジェクションの問題。バージョン BI-BASE-E 7.5、BI-BASE-B 7.5、BI-IBC 7.5、BI-BASE-S 7.5、BIWEBAPP 7.5 に影響します。
  • CVE-2023-30533– SAP S/4 HANA のプロトタイプ汚染に関する不具合、特に Manage Supply Protection モジュール内の不具合、SheetJS CE の 0.19.3 未満のライブラリバージョンに影響。
  • CVE-2024-34688– SAP NetWeaver AS Java のサービス運用妨害(DOS)の脆弱性で、特に Meta Model Repository コンポーネントのバージョン MMR_SERVER 7.5 に影響します。
  • CVE-2024-33003– SAP Commerce Cloud における情報漏洩の問題に関連する脆弱性で、バージョン HY_COM 1808、1811、1905、2005、2105、2011、2205 および COM_CLOUD 2211 に影響します。

今すぐアップデートを適用

SAP は世界最大の ERP ベンダーであり、その製品はフォーブス・グローバル 2000 リストの 90% 以上で使用されているため、ハッカーは常に、非常に価値の高い企業ネットワークへのアクセスを可能にする重大な認証バイパスの欠陥を探しています。

2022年2月、米国サイバーセキュリティ・インフラストラクチャ・セキュリティ局(CISA)は、データの盗難、ランサムウェア、ミッションクリティカルな業務の中断を防ぐため、SAPビジネスアプリケーションの深刻な脆弱性にパッチを当てるよう管理者に促した。

2020年6月から2021年3月にかけて、パッチの適用されていないSAPシステムを悪用して企業ネットワークに侵入した脅威者は、少なくとも300件に上った