世界の40万社が危機に、SAP脆弱性のインパクトとは

SAP製品の重大な脆弱性が、パッチリリースから6カ月たった後も悪用されている。SAPは世界で約40万社に導入されているため、影響範囲の広さが憂慮されている。

[David Jones，Cybersecurity Dive]

　Onapsis Research Labs（以下、Onapsis）の研究者は、攻撃者がセキュリティパッチがリリースされてから6カ月後に再び、「SAP Internet Communication Manager」の重大な脆弱（ぜいじゃく）性を標的にしていると述べた。

　この脆弱性は、「CVE-2022-22536」（CVSS v3のスコア10）に指定された。「HTTPレスポンススマグリング」と呼ばれる手法の調査中に発見された一連の脆弱性の中で最も深刻なものだ。攻撃者はこの脆弱性を利用してシステムの制御権を奪い、機密データの窃取、ランサムウェア、基幹業務の妨害などを仕掛けられる。

　米国のCybersecurity and Infrastructure Security Agency（CISA：サイバーセキュリティ・インフラストラクチャセキュリティ庁）は2022年8月18日、この脆弱性を「既知の悪用された脆弱性カタログ」（注1）に追加した。

世界の40万社が危機に　SAP脆弱性、そのインパクトとは

　Onapsisの研究者は、米国のセキュリティカンファレンスである「Black Hat USA 2022」で、「脆弱性に関する最新情報を彼らが発表した2週間後に、ICMADと呼ばれるSAPの脆弱性を標的とした脅威活動が増加した」と述べ、企業に「直ちにパッチを適用するよう」促している。

　Black Hat USAでは、SAP独自のHTTPサーバに見つかった2つのメモリ破壊の脆弱性を利用するデモが行われた。攻撃者は「CVE-2022-22536」および「CVE-2022-22532」の脆弱性を遠隔で悪用し、SAPがインストールされたサーバへの攻撃を図る。

　SAPは、Fortune 500企業の約90％を含む、世界で約40万社に導入されている。OnapsisのCTO（最高技術責任者）であるJPペレス・エチェゴエン氏は、「脆弱性の重大性、影響を受けるプロトコルの広さ、インターネットへの最初の露出により、脅威の度合いは依然として高い」とメールで述べた。

　一方、SAPも「ビジネスソフトウェアのグローバルリーダーとして、SAPは顧客のデータのセキュリティを優先し、安全で信頼できるソフトウェアソリューションを確保するために、企業全体で包括的なセキュリティ戦略を運用する」とメールで声明を発表した。

　SAPは、2022年2月に「CVE-2022-22536」（注2）のセキュリティパッチをリリースしており、「“直ちに”このパッチを適用することを顧客に推奨している」と述べている。

出典：Threat actors again target critical SAP ICMAD vulnerabilities（Cybersecurity Dive）

注1、注2：CVE-2022-22536 Detail