エンタープライズ ソフトウェア ベンダーの SAP は、SAP Diagnostics Agent と SAP BusinessObjects Business Intelligence Platform に影響を与える 2 つの深刻な脆弱性に対する修正を含む、いくつかの製品の 2023 年 4 月のセキュリティ更新プログラムをリリースしました。
SAP は全部で 24 のメモをリリースしました。そのうち 19 は重要度の異なる新しい問題に関するもので、5 つは以前の報告の更新です。
今回修正された最も重要な 3 つの問題は次のとおりです。
- CVE-2023-27267 : SAP Diagnostics Agent バージョン 720 の OSCommand Bridge に影響を与える不十分な入力検証と認証の欠落の問題により、攻撃者が接続されたエージェントでスクリプトを実行し、システムを完全に侵害する可能性があります。 (CVSS v3.1 スコア: 9.0)
- CVE-2023-28765 : SAP BusinessObjects Business Intelligence Platform (Promotion Management)、バージョン 420 および 430 に影響を与える情報漏えいの脆弱性により、基本的な権限を持つ攻撃者が lcmbiar ファイルにアクセスして復号化できます。これにより、攻撃者はプラットフォームのユーザーのパスワードにアクセスし、ユーザーのアカウントを乗っ取って、追加の悪意のあるアクションを実行できるようになります。 (CVSS v3.1 スコア: 9.8)
- CVE-2023-29186 : SAP NetWeaver バージョン 707、737、747、および 757 に影響を与えるディレクトリ トラバーサルの欠陥により、脆弱な SAP サーバーに攻撃者がファイルをアップロードおよび上書きできるようになります。 (CVSS v3.1 スコア: 8.7)
SAP の最新のセキュリティ速報で開示された残りの 11 のセキュリティ上の欠陥は、重大度が低から中程度の脆弱性に関するものです。
通常、このような問題はパッチ適用の優先事項とは見なされませんが、特に複雑な攻撃チェーンの一部として攻撃に利用されるため、それでも対処する必要があります。
迅速なパッチ適用が重要
ハッカーは、大規模な企業ネットワークでは一般的な、SAP などの広く展開されている製品の重大な欠陥を常に探しています。
SAP は世界最大の ERP ベンダーであり、180 か国に 425,000 の顧客を持ち、世界市場シェアの 24% を占めています。 Forbes Global 2000 の 90% 以上が、ERP、SCM、PLM、および CRM 製品を使用しています。
2022 年 2 月、米国のサイバーセキュリティおよびインフラストラクチャ セキュリティ エージェンシー (CISA) は、データの盗難、ランサムウェア攻撃、およびミッション クリティカルなプロセスと運用の中断を防ぐために、SAP ビジネス アプリに影響を与える一連の重大な脆弱性にパッチを適用するよう管理者に要請しました。
2021 年 4 月、脅威アクターが、パッチが適用されていない SAP システムの修正済みの欠陥を攻撃して、企業ネットワークへのアクセスを取得していることが確認されました。
したがって、SAP システム管理者は、利用可能なセキュリティ パッチをできるだけ早く適用することが非常に重要です。
Comments