SAP NetWeaverの活発な悪用を確認、更新を

表題の件、まいなびニュース 06/11の記事によると、

『米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は

「Known Exploited Vulnerabilities Catalog」に

3個の脆弱性を追加 .. これら脆弱性はサイバー犯罪者によって積極的に悪用されていることが確認されている。

影響を受ける主な製品やサービスは次のとおり。

    CVE-2021-38163 SAP - NetWeaver

    CVE-2016-2386 SAP - NetWeaver

    CVE-2016-2388 SAP - NetWeaver

』との事。

→ 06.15 追記ここから

■スコアだけ重視しているとリスクを見落とすかも

これら三つのCVEのCVSS Base Score等は以下の通りである。

Base Score は、8.x(HIGH)や5.x(MEDIUM)さえある点に注意が必要だ。

 

・CVE-2021-38163 　

SAP NetWeaver (Visual Composer 7.0 RT) バージョン - 7.30, 7.31, 7.40, 7.50, 制限無しで、非管理ユーザーとして認証された攻撃者は、ネットワーク経由で悪意のあるファイルをアップロードして、処理をトリガーすることができます。

これは、Java Serverプロセスの特権でOSコマンドを実行することができる、という事です。

これらのコマンドは、サーバー上のあらゆる情報の読み取りや変更、サーバーのシャットダウンに使用され、サーバを利用できなくなる可能性があります。  

NIST: NVD　　 Base Score:  8.8 HIGH

CNA:  SAP SE　Base Score:  9.9 CRITICAL 

・CVE-2016-2386 

SAP NetWeaver J2EE Engine 7.40 の UDDI サーバーに SQL インジェクションの脆弱性があり、リモートの攻撃者に、特定されていないベクトルを介して任意の SQL コマンドを実行される可能性があります（別名 SAP Security Note 2101079）。   

NIST: NVD　Base Score:  9.8 CRITICAL 

・CVE-2016-2388  

SAP NetWeaver AS JAVA 7.4 の Universal Worklist Configuration は、リモートの攻撃者が細工した HTTP リクエストを介して機密性の高いユーザー情報を取得することを可能にします（SAP Security Note 2256846）。 

NIST: NVD　Base Score:  5.3 MEDIUM

■KEVの活用提言

「Known Exploited Vulnerabilities Catalog (KEV)に挙がっているものは、脆弱性の悪用が起きているので、スコアが低くても早期対応すべき。その代わりに、スコアが高くても、KEVに挙がっていないものは優先順位を下げて、労力配分を調整しても良い。」と先日の”セキュリティのアレ”で取り上げられていた。

一方「KEVに無いからといって安全とは限らない」とも。結局、エンドレスにやり続けなければならないのである。

← 06.15 追記ここまで

■SAPの脆弱性管理の死角

NetWeaverをインターネットに公開している組織は、脆弱性情報の入手～リスク分析～アプリケーション影響分析～実施の方針や手続きを定め、関係者は緊張感の中で対応を行っているものと想像する。ここで「Known Exploited Vulnerabilities Catalog」のSAP関連の脆弱性には、NetWeaver以外に下記２件の脆弱性が挙がっている点にも注意されたい。

特に２番目のCVEは、一瞥して危険そうだと分かる。関係者は『NetWeaverは使用していないから大丈夫』、『NetWeaver以外は公開していないから大丈夫』、『組織内のみの利用環境だから大丈夫』、『可用性が唯一最大の重要課題』と思考停止せず、パッチ適用しよう。

◆CVE-2020-2380

NISTとJVNによる説明は、それぞれ以下の通りである。

 

　・NVD CVE-2018-2380 Detail (2018/03/01)

　　 

SAP CRM, 7.01, 7.02,7.30, 7.31, 7.33, 7.54 では、ユーザが提供するパス情報の検証が不十分なため、「親ディレクトリにトラバースする」を表す文字がファイル API に渡されてしまうことがあります。

（訳者注、しかし直ちにOS上の何かが露呈する、とは書かれていない）

 

NIST: NVD  Base Score:  6.6 MEDIUM

 

　・JVNDB-2018-002510

　 　SAP CRM におけるパストラバーサルの脆弱性

 　

CVSS v3 による深刻度

基本値: 6.6 (警告) [NVD値] 

• 攻撃元区分: ネットワーク
• 攻撃条件の複雑さ: 低
• 攻撃に必要な特権レベル: 高
• 利用者の関与: 不要
• 影響の想定範囲: 変更あり
• 機密性への影響(C): 低
• 完全性への影響(I): 低
• 可用性への影響(A): 低

想定される影響

情報を取得される、情報を改ざんされる、およびサービス運用妨害 (DoS) 状態にされる可能性があります。

 

対策

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

 

ベンダ情報

SAP

SAP Security Patch Day (Blog) : February 2018 (2547431)

          

◆CVE-2020-6207

NISTとJVNの説明は、それぞれ以下の通りである。

　・NVD CVE-2020-6207 Detail (2020/03/10-2021/06/17)

    

SAP Solution Manager (User Experience Monitoring), version- 7.2, Missing Authentication Check が原因で、Solution Manager に接続されたすべての SMDAgents が完全に危険にさらされるサービスのための認証が実行されません。

 

NIST: NVD  Base Score:  9.8 CRITICAL

 

　・JVNDB-2020-002733

　 　SAP Solution Manager における重要な機能に対する認証の欠如に関する脆弱性

　 

CVSS v3 による深刻度

基本値: 9.8 (緊急) [NVD値]

• 攻撃元区分: ネットワーク
• 攻撃条件の複雑さ: 低
• 攻撃に必要な特権レベル: 不要
• 利用者の関与: 不要
• 影響の想定範囲: 変更なし
• 機密性への影響(C): 高
• 完全性への影響(I): 高
• 可用性への影響(A): 高 

影響を受けるシステム

SAP

SAP Solution Manager 7.2

 

想定される影響

情報を取得される、情報を改ざんされる、およびサービス運用妨害 (DoS) 状態にされる可能性があります

 

対策

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

 

ベンダ情報

SAP

SAP Security Patch Day (Blog) : SAP Security Patch Day - March 2020

           ←Note# 2890213 

YouTube版

Part 1. https://youtu.be/buNvzUrirmw

Part 2. https://youtu.be/oaSCGYkThaE