脆弱性を悪用すれば、攻撃者が認証なしで特権を持った新規のSAPアカウントを作成できる。全てのアクセスや認証コントロールをかわして、SAPシステムを完全に制御することが可能とされ、危険度は極めて高い。
この記事は会員限定です。会員登録すると全てご覧いただけます。
SAPは2020年7月13日、「SAP NetWeaver Application Server (AS) 」のJavaコンポーネントに存在する深刻な脆弱(ぜいじゃく)性を修正するセキュリティアップデートを公開した。危険度は極めて高く、攻撃者がインターネット経由で悪用して、SAPアプリケーションを完全に制御できてしまう可能性も指摘されている。
脆弱性はSAP NetWeaver ASのJavaコンポーネント「LM Configuration Wizard」に存在する。危険度は共通脆弱性評価システム(CVSS)のベーススコアで最大値の10.0。
米国土安全保障省のサイバーセキュリティ機関CISAは直ちにパッチを適用するよう強く勧告し、まずインターネットに接続しているシステムのパッチ適用を優先する必要があるとした。
Copyright © ITmedia, Inc. All Rights Reserved.