米セキュリティ企業のOnapsisは9月11日、SAP HANAベースの全アプリケーションに影響する脆弱性21件についてのセキュリティ情報を公開した。
Onapsisの発表によると、脆弱性は21件中の8件が「critical」に分類され、うち6件はHANAの設計に起因することから、回避のためにはシステム設定を変更する必要がある。
脆弱性を修正しなければ、SAP HANAのシステムが認証を受けない攻撃者に完全に制御され、企業情報の盗難や削除や改ざんの被害に遭ったり、プラットフォームが停止させられてビジネスプロセスに障害が発生したりする恐れがあるとしている。
深刻な脆弱性の多くはサーバ間通信を担うHANA TrexNetインタフェースに存在するという。HANAの技術はSAP S/4HANAやSAP HANA Cloud Platformを含むSAPの全アプリケーションに使われていて、サードパーティーモバイルアプリケーションの膨大なエコシステムも支えていることから、攻撃面は広大だとOnapsisは解説する。
脆弱性の影響は、世界大手も含めてSAP HANAを導入している企業1万社以上に及ぶと同社は推定。SAPの脆弱性が悪用されて障害が発生した場合のコストは、企業によっては最大で1分当たり2200万ドルと試算している。国家が関与する攻撃や経済スパイなどに利用されれば、世界経済にも重大な影響を及ぼしかねないと警告した。
SAPはこれら脆弱性の修正パッチを公開済み。しかし、パッチを適用しても修正できない脆弱性もあるといい、Onapsisでは設定の変更による対処方法を紹介している。
関連記事
- SAP HANAは次世代の「プラットフォーム」として広がるか
SAPが「SAP HANA」の最新版を投入した。同社はHANAを企業システムにおける次世代の「プラットフォーム」と位置付けるが、果たしてどこまで広がるか。 - Oracleが定例パッチ公開、DBやJavaなどの脆弱性を修正
CVSS評価値が最大の「10.0」となる深刻な脆弱性など計154件の問題に対処した。 - 国内3000サイトに不正広告、50万人にウイルス感染の危機
9月に閲覧者のコンピュータの脆弱性を突いて不正プログラムに感染させる攻撃が発生していた。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.