US-CERT、SAPシステムの5年前の脆弱性を悪用した攻撃を世界36社で確認し注意喚起
SAPシステムの5年前に修正された脆弱性を悪用した攻撃が日本を含む世界の企業36社で確認され、US-CERTが注意を呼び掛けている。この攻撃はSAP NetWeaver Application Server Java システムが提供する Invoker Servlet の脆弱性を悪用したもので、この脆弱性はSAP社が2010年に対応していた。しかし、アップデートをしていなかったり、ユーザの設定ミスやカスタムアプリの原因などにより、この脆弱性が修正されていない状態である企業が標的となっていた。この問題を発見したセキュリティ企業のOnapsisは、被害を受けた企業に連絡を取っている。
SAP NetWeaver Application Server Java システムは、SAP Enterprise Resource Planning (ERP)やSAP Product Lifecycle Management (PLM)など18製品に組み込まれ、脆弱性はSAPアプリケーションのレベルに存在しているため、OSやデータベース製品問わず影響を受ける。悪用されると、HTTP経由でSAPシステムに管理者権限でアクセスされ、情報の盗取や改ざん、システムの不正操作、プロセス制御などの恐れがある。この脆弱性の対策として、SAP Security Note 1445998 を適用し、Invoker Servlet を無効化するよう推奨している。また、US-CERTはセキュリティパッチ未適用や即知の脆弱性が存在していないか確認したり、不審な痕跡や操作を発見できるようシステムを監視するなどの対策を行うよう呼び掛けている。
