JVNTA#91951276
SAP 製品に対する攻撃

世界中で 36 以上の企業が SAP 製品に関する脆弱性の影響を受けていることが報告されています。Onapsis 社の調査により、これらの企業の SAP システムに対して攻撃が行われていることが判明しました。

これらの攻撃は、SAP NetWeaver Application Server Java システムが提供する Invoker Servlet の脆弱性を使用しています。この脆弱性は、SAP 社が 2010年にすでに対策を提供していますが、対策を適用していない、あるいは設定を正しく行っていないまま運用されているシステムでは、今も本脆弱性の影響を受ける可能性があります。

• 古いバージョンのまま、あるいは適切な設定をしないまま運用されている SAP システム

古いバージョン、あるいは適切な設定を行っていない SAP システムは、攻撃を受ける可能性があります。
SAP NetWeaver Application Server Java システムで稼働するアプリケーションには、Invoker Servlet の脆弱性が存在する可能性があります。
SAP NetWeaver Application Server Java システムは、多くの SAP 製品に組み込まれています。例えば、以下に挙げる製品には SAP NetWeaver Application Server Java システムが組み込まれています。

• SAP Enterprise Resource Planning (ERP)
• SAP Product Lifecycle Management (PLM)
• SAP Customer Relationship Management (CRM)
• SAP Supply Chain Management (SCM)
• SAP Supplier Relationship Management (SRM)
• SAP NetWeaver Business Warehouse (BW)
• SAP Business Intelligence (BI)
• SAP NetWeaver Mobile Infrastructure (MI)
• SAP Enterprise Portal (EP)
• SAP Process Integration (PI)
• SAP Exchange Infrastructure (XI)
• SAP Solution Manager (SolMan)
• SAP NetWeaver Development Infrastructure (NWDI)
• SAP Central Process Scheduling (CPS)
• SAP NetWeaver Composition Environment (CE)
• SAP NetWeaver Enterprise Search
• SAP NetWeaver Identity Management (IdM)
• SAP Governance, Risk & Control 5.x (GRC)

遠隔の第三者が、Invoker Servlet の脆弱性を使用して SAP システムにアクセスし、システム内の情報の取得や改ざん、システムの不正な操作を行う可能性があります。さらに、SAP 製品が動作するシステムと連携している他のシステムにもアクセスされる可能性があります。

アップデートおよび設定の見直しを行う
US-CERT は、SAP 社の SAP Security Note 1445998 の適用と Invoker Servlet の無効化を推奨しています。
詳細については、Onapsis 社のレポートを参照してください。

US-CERT は、さらに以下の事項も推奨しています。

• セキュリティパッチを適用していない、危険な設定が残っているなど、既知の脆弱性が存在しているかどうか調査する
• SAP システムとアプリケーション間の連携に関して、セキュリティ上重要な設定内容を確認する
• システムを使用するユーザに対して、不正な操作や不要なはずの操作を許可していないか確認する
• 脆弱性に対する攻撃を受けた際に残る痕跡を発見できるようにシステムを監視する
• 管理者一般ユーザ問わず全てのユーザについて、システムに対して不正な操作をしていないかを監視する
• 新たな脆弱性情報が得られた際には脅威分析を行い、高度標的型攻撃に対するセキュリティ対策として反映する
• システムのセキュリティ基準を制定の上、それが遵守されているかどうかを確認し、基準からの逸脱がある場合には適切に対処する