SAP製品に危険度「10.0」の重大な脆弱性、攻撃者に特権アカウントを作成される恐れ

脆弱性を悪用すれば、攻撃者が認証なしで特権を持った新規のSAPアカウントを作成できる。全てのアクセスや認証コントロールをかわして、SAPシステムを完全に制御することが可能とされ、危険度は極めて高い。

» 2020年07月15日 10時01分 公開
[鈴木聖子ITmedia]

この記事は会員限定です。会員登録すると全てご覧いただけます。

 SAPは2020年7月13日、「SAP NetWeaver Application Server (AS) 」のJavaコンポーネントに存在する深刻な脆弱(ぜいじゃく)性を修正するセキュリティアップデートを公開した。危険度は極めて高く、攻撃者がインターネット経由で悪用して、SAPアプリケーションを完全に制御できてしまう可能性も指摘されている。

CISA 脆弱性を警告するCISARのWebサイト(出典:CISA)

 脆弱性はSAP NetWeaver ASのJavaコンポーネント「LM Configuration Wizard」に存在する。危険度は共通脆弱性評価システム(CVSS)のベーススコアで最大値の10.0。

 米国土安全保障省のサイバーセキュリティ機関CISAは直ちにパッチを適用するよう強く勧告し、まずインターネットに接続しているシステムのパッチ適用を優先する必要があるとした。

影響範囲は世界中に及ぶ、すぐパッチ適用できない場合は?

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ