記事本文(要約)
SAPは2025年4月のセキュリティパッチデーに、18の新しいセキュリティノートと2つの更新されたセキュリティノートを発表しました。その中には、3つの重大な脆弱性に対処したノートがあります。CVE-2025-27429とCVE-2025-31330は、S/4HANA(プライベートクラウド)およびランドスケープ変換におけるコードインジェクション脆弱性で、同じセキュリティ欠陥に対応しています。CVE-2025-30016は、財務統合における認証バイパスの問題で、未認証の攻撃者が管理者ユーザーを装う可能性があります。他に、5つの高リスク脆弱性が解決され、SAPは中程度の脆弱性10件と低リスクの脆弱性1件に対する修正もリリースしました。これらの脆弱性が実際に悪用されたことは報告されていませんが、迅速なパッチ適用が推奨されています。
※この要約はChatGPTを使用して生成されました。
公開日: Tue, 08 Apr 2025 13:22:14 +0000
Original URL: https://www.securityweek.com/sap-patches-critical-code-injection-vulnerabilities/
詳細な技術情報
- CVE番号と脆弱性の仕組み
- 1. CVE-2025-27429 および CVE-2025-31330
- 脆弱性の仕組み: これらはSAP S/4HANA (Private Cloud)とLandscape Transformation (Analysis Platform)におけるコードインジェクションの脆弱性です。特に、リモートで有効な関数モジュールが任意のテキストを入力パラメータとして受け取り、INSERT REPORTステートメントを使用してABAPレポートを生成することが可能になります。
- 2. CVE-2025-30016
- 脆弱性の仕組み: Financial Consolidationにおける認証バイパスの問題で、認証されていない攻撃者が管理者ユーザーを偽装することが可能になる脆弱性です。
- 攻撃手法
- CVE-2025-27429 および CVE-2025-31330の場合、攻撃者はS_RFC権限を有している状況で、リモートで関数モジュールを不正に利用してコードを注入します。
- CVE-2025-30016では、認証が突破され、攻撃者が管理者のふりをしてシステムに不正アクセスを行えます。
- 1. CVE-2025-27429 および CVE-2025-31330
- 潜在的な影響
- CVE-2025-27429 および CVE-2025-31330: 成功したエクスプロイトにより、攻撃者はシステム内で任意のコードを実行し、予期しない動作やデータの漏洩、破損を引き起こす可能性があります。
- CVE-2025-30016: 認証されていない攻撃者が管理者権限を持ち、システム全体にわたって不正な操作や情報漏洩が行える危険性があります。
- 推奨される対策
- 1. パッチの適用: SAPが提供した最新のパッチをできるだけ早く適用することが最も重要です。
- 2. 権限管理の見直し: 専門の機能グループまたはモジュールに対して、S_RFCの権限が適切に設定されていることを確認します。
- 3. システムモニタリング: 不正アクセスの可能性を減らすため、システム全体のアクセスログとシステム活動を継続的にモニタリングします。
