SAP製品を狙った“深刻な手口”が判明 複数ツールの脆弱性を悪用か：脆弱性「組み合わせ」でSAP攻撃【前編】

既知の脆弱性をうまく組み合わせれば、SAP製品への攻撃ができると、セキュリティベンダーOnapsisは警鐘を鳴らす。同社が発見した恐ろしい攻撃手法とは何か。

[Arielle Waldman，TechTarget]

　セキュリティベンダーOnapsisは、SAP製品の複数の脆弱（ぜいじゃく）性を組み合わせることでユーザー企業のシステムに侵入する手口を公開した。その手口とはどのようなものなのか。

Onapsisが「実演」した攻撃シナリオ　要注意の脆弱性とは？

併せて読みたいお薦め記事

SAPの利用に当たっての注意点とは

• どうするSAPの“2027年問題”　「Rise with SAP」は解決策となるのか？
• SAPの「S/4HANA」移行はまだ早い？　企業の9割が懸念する“あの問題”

　2023年8月に米国で開催されたセキュリティイベント「Black Hat USA 2023」で、Onapsisセキュリティ研究員のパブロ・アルトゥーソ氏とイバン・ゲウナー氏は、両氏が見つけた攻撃の手口を説明した。攻撃に悪用している脆弱性には、共通脆弱性評価システム（CVSS：Common Vulnerability Scoring System）で「重要」や「緊急」と評価されているものが含まれるという。

　アルトゥーソ氏はOnapsis最高技術責任者（CTO）のJ・P・ペレスエシェゴエン氏と共に米TechTargetの取材に応じ、攻撃の詳細を説明した。両氏によれば、脆弱性の一つは「CVE-2023-28761」だ。CVE-2023-28761はシステム統合ツール「SAP NetWeaver」の脆弱性で、悪用されれば権限なしでアプリケーションの起動が可能になる。サーバ設定を変えたり、データにアクセスしたりすることもできるという。

　Onapsisは攻撃の実施に当たってCVE-2023-28761に加え、SAP独自の通信プロトコル「P4」を使った。P4はSAP NetWeaverのアプリケーションに採用されている。Onapsisによると、実際に攻撃者がP4に不正アクセスした場合は、ユーザー企業に広範囲な悪影響が出る可能性がある。Onapsisは2023年、P4の一連の脆弱性を「P4CHAINS」と名付け、その内容を公開した。今回はその一部を悪用し、不正アクセスに成功したという。

　今回の攻撃にOnapsisが使った他の脆弱性は、「CVE-2023-23857」や「CVE-2023-27497」だ。CVE-2023-23857はP4に対してDoS（サービス拒否）攻撃やOSファイルの読み取りを可能にする脆弱性だ。CVSSスコアは9.9（緊急）。CVE-2023-27497はシステムのパフォーマンス監視ツール「SAP Solution Manager Diagnostics」（SMD）に対して任意のコード実行ができるようになる。CVSSスコアは10.0（緊急）。Onapsisは今回、以下の脆弱性も攻撃に使ったという。

• CVE-2023-36925
  • アプリケーションライフサイクル管理ツール「SAP Solution Manager」の脆弱性。公開サーバから非公開の標的サーバへのリクエスト（応答要求）を偽装し、標的サーバに不正アクセスする攻撃である「サーバサイドリクエストフォージェリ」（SSRF）を可能にする
• CVE-2022-41272
  • SAP NetWeaverの脆弱性。「SQLインジェクション」（正規のSQLクエリに悪意ある操作を挿入して標的のサーバで実行させる攻撃）を可能にする
• CVE-2023-24523
  • ライフサイクル管理ツール「SAP Host Agent」の脆弱性。権限昇格を可能にする

---

　後編は、Onapsisが見つけた攻撃を受け、SAPのユーザー企業はどのような防御策を講じるべきかを見る。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。