SAPの「SolMan」に存在する深刻な脆弱性を突くエクスプロイトコードが出回る

今回は「SAPの「SolMan」に存在する深刻な脆弱性を突くエクスプロイトコードが出回る」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 SAPのサーバー向けソフトウェアに潜む深刻な脆弱性「CVE-2020-6207」を探し出そうとする、自動化された偵察行動が検出された。その1週間前には、同脆弱性を突く概念実証(PoC)コードがオンライン上で公開されていた。

 同脆弱性は「SAP Solution Manager」(SolMan)のバージョン7.2に存在する。

 また同脆弱性は、認証チェックの欠如によって引き起こされるものであり、共通脆弱性評価システム(CVSS)のセキュリティスコアで最も高い10.0が付与されている。

 SolManは、オンプレミスやハイブリッド、クラウドのITシステムを一元的に管理するためのアプリケーションだ。サイバーセキュリティ企業のOnapsisは2020年8月、「Black Hat USA」でこの脆弱性について語った際に、SolManは「SAP製品におけるテクノロジー面での中核だ」と説明していた。

 SolManの「End user Experience Monitoring」(EEM)機能は認証関連の問題を抱えている。Onapsisによると、EEMは他のシステム上にスクリプトをデプロイする目的でも利用できるため、この脆弱性が悪用された場合、SolManに接続されている「あらゆるシステム」がリモートコード実行(RCE)を介して乗っ取られる可能性もあるという。

 SAPは2020年3月に、CVE-2020-6207に対する修正パッチを発行している(SAP Security Note #2890213)。しかし、実際に機能するPoCエクスプロイトコードの公開によって、パッチを適用していないサーバーは全てリスクが高まったことになる。

 セキュリティリサーチャーのDmitry Chastuhin氏は1月14日、教育目的のプロジェクトとして、同脆弱性を突くPoCを公開した。同氏によると、公開したスクリプトは「SAPのEEMサーブレットで認証処理が欠落していることをチェックし、その弱点を突く」ものだという。

 Onapsisは、自動化されたツールによると考えられる「大量のリクエスト」が既に検出されており、それらは重大な脆弱性を抱えたままのSAPシステムを見つけ出そうとしていると米ZDNetに述べた。同社は、PoCコードが公開された直後にこの種のツールが開発されたと確信している。

 これらのリクエストは現在のところ、主に欧州とアジアから到来しており、さまざまなIPから送出されていることが記録されているという。

 このパッチが企業のIT担当者によって適用されているのであれば、心配する必要はない。しかし、パッチがまだ適用されておらず、SolManがオンラインでアクセスできるようになっている場合、このような自動化ツールが生み出された以上、管理者は同脆弱性への対処をできる限り迅速に実施するべきだろう。

 米ZDNetはSAPにコメントを求めているが現時点で回答は得られていない。


セキュリティとは – IT用語辞典 e-Words

セキュリティ【security】とは、安全、防犯、保安、防衛、防護、治安、安心、安全保障などの意味を持つ英単語。盗難や破壊など人為的な攻撃からの保護を意味し、事故や災害など人の意志によらない危険や脅威からの安全を表す “safety” (セーフティ)とは区別される。

セキュリティ – Wikipedia

セキュリティ ( 英: security )は、 人 、 住居 、 地域社会 、 国家 、 組織 、 資産 などを対象とした、 害 からの 保護 。. 一般には 保安 のことであり、 犯罪 や 事故 などを防止するための 警備 全般を指す。. コンピュータ 関連の文脈では、特に コンピュータセキュリティ を単にセキュリティと呼ぶ場合がある。. 金融 業界では、 出資 を募る 団体 を損害 …

情報セキュリティって何?|はじめに|国民のための情報 …

 · 情報セキュリティという言葉は、一般的には、情報の機密性、完全性、可用性を確保することと定義されています。

IPA 独立行政法人 情報処理推進機構:情報セキュリティ

 · 「情報セキュリティ対策ベンチマーク」、「セミナーサポートシステム」 【停止期間】2021年1月27日(水)8:00 ~ 24:0 ※作業状況により、停止時間を延長する場合があります。 テレワークを行う際のセキュリティ上の注意事項 Web会議 …

セキュリティ : 富士通 – Fujitsu

富士通の「セキュリティ」は、企業が取り組むべき、情報漏洩、不正アクセス、ウイルス、メール、電子認証などのセキュリティ対策を行います。

セキュリティソフトの比較 2021 – the比較

セキュリティソフトの比較ページ。2021年版のセキュリティソフトについて、ウイルス検出率、軽さや、流行りのランサムウェア保護精度、価格を比較。目的別のおすすめやクーポン情報もあり

無料セキュリティソフト – フリーソフト100

無料セキュリティ ソフトで 電話サポート があるのはこのソフトだけ 4.4億人のユーザー規模を誇る、世界で最も選ばれているウイルス対策ソフト 第三者機関による防御性能試験で優勝版ソフトと肩を並べる実力を認められている …

Securityの意味・使い方・読み方 | Weblio英和辞書

セキュリティとは、英語で 安全、防犯 あるいは 有価証券などを意味する 語 である。

ZEROウイルスセキュリティ – セキュリティソフト(ウイルス対策 …

「ZEROウイルスセキュリティ」は、1台用1,980円のウイルス対策ソフトです。しかも更新料0円。1台に1度入れたら、その端末が使える限り、期限切れにならずに使えます。2003年の発売以来、一貫して「安い、軽い、ラク」を追求し、のべエントリー数は1000万人を突破しています。

セキュリティ – ITmedia NEWS

ITの普及によって便利になる生活。その光の一方、セキュリティの重要性も増しています。今すべきセキュリティとは何なのでしょうか――。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
“スマートばんそうこう”で傷口を監視 スマホと連携、グラスゴー大学が開発 :Innovative Tech(1/2 ページ)
トップニュース
2021-08-20 22:35
CentOSの代替目指す「Rocky Linux」、「Google Cloud」でサポート強化
IT関連
2022-04-09 00:55
「自動運転レベル3」対応レジェンド 検証走行は130万km、世界初となる実用化の舞台裏 (1/2 ページ)
くわしく
2021-03-05 03:42
「LibreOffice」でデータベースを作成するには
IT関連
2024-01-10 03:48
ルネサス、コネクテッドカー開発でMicrosoftと協業
企業・業界動向
2021-01-14 10:05
2025年までにすべての自動運転車に二酸化炭素排出量ゼロを義務づけるカリフォルニア州の法案
モビリティ
2021-03-23 14:54
メイン州も危険なバイアスのかかった監視技術、顔認識導入を拒絶する自治体に
人工知能・AI
2021-07-27 12:04
NASAがアポロ計画以来となる有人月面着陸システムの開発にSpaceXを指名
宇宙
2021-04-18 10:12
SambaNova Systems、言語モデルに最適化された半導体「SN40L」を発表
IT関連
2023-09-22 09:18
AWSを駆使した生徒起案の文化祭を開催–奈良県 西大和学園高校
IT関連
2022-09-29 01:01
記者会見で日本のビジネス目標に言及したSnowflake CEOの思惑とは
IT関連
2023-09-16 00:54
PS5「DualSense」コントローラーをAppleが販売 米国のオンラインストアで
社会とIT
2021-05-25 19:24
「Exchange Online」にパスワードスプレー攻撃–MSは基本認証の無効化を推奨
IT関連
2022-10-08 14:08
Google I/Oが5月11日、12日に開催、来場者は限定的だが無料ライブストリーミングで視聴可能
IT関連
2022-03-18 04:56