United States Computer Emergency Readiness Team (US-CERT)は7月13日(米国時間)、「Critical Vulnerability in SAP NetWeaver AS Java|CISA」において、SAP NetWeaver (Application Server)AS Javaに重大な脆弱性が存在すると伝えた。

この脆弱性を悪用されると、攻撃者によって対象のSAPシステムの制御権を奪われ、機密情報の流出や改変、重要なビジネスプロセスの中断などといった事態が引き起こされる危険性がある。

Critical Vulnerability in SAP NetWeaver AS Java | CISA

該当する脆弱性に関する詳細な情報は次のページの「Note 2934135」にまとめられている(要SAP IDログイン)。

SAP Security Patch Day - July 2020 - Product Security Response at SAP - Community Wiki

この脆弱性はSAP NetWeaver AS for JavaのWebコンポーネントに認証が不足しており、攻撃者によってSAPシステムより高い権限でのアクティビティが可能になるというもの。不正利用に成功した場合、リモートの攻撃者は高い権限のユーザーを作成し、「adm」権限で任意のシステムコマンドを実行してSAPシステムへの無制限のアクセス権を取得できるという。

この脆弱性が含まれるSAP NetWeaver AS for Javaのバージョンは7.3から7.5まで。該当するSAP NetWeaver AS Java上で実行されているすべてのSAPアプリケーションが影響を受けるため、対象となるシステムは広範囲に及ぶ。

脆弱性の深刻度を表すCVSSのベースランクは最高の"10"で、"緊急"(Critical)に分類されている。パッチの適用にあたっては、まずインターネットに接続された外部のシステムを優先し、次に内部システムに適用するという手順を踏む必要がある。万が一すぐにパッチを適用できない状況の場合は、LM Configuration Wizardサービスを無効にすることで被害を軽減できる可能性があるとも伝えられている。