SAPノート 2974774 (CVE-2020-26829) SAP NetWeaver AS Java (P2P クラスタ通信) における認証チェックの不備

脆弱性の概要

2020年12月にリリースされた「優先度:最優先」の重要ノートです。P2Pクラスタ通信を使用していない環境であっても脆弱性の影響を受けるため注意が必要です。

事象

CVEの原文は以下です。

SAP NetWeaver AS JAVA (P2P Cluster Communication), versions – 7.11, 7.20, 7.30, 7.31, 7.40, 7.50, allows arbitrary connections from processes because of missing authentication check, that are outside the cluster and even outside the network segment dedicated for the internal cluster communication. As result, an unauthenticated attacker can invoke certain functions that would otherwise be restricted to system administrators only, including access to system administration functions or shutting down the system completely.

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-26829

認証チェックの不備により任意の接続を受け付けてしまうようです。本来はクラスタ間の通信専用のネットワークセグメントのみから通信を受け付けるべきであるものの、他セグメントのネットワークからも要求を受け付けてしまいます。また、システム管理者のみに制限されている特定のシステム管理機能やシャットダウンなどのオペレーションが行えてしまうようで、非常に危険度の高い脆弱性となっています。CVSSスコアも最高点の10点です。

脆弱性の影響を受ける対象

以下のコンポーネントが対象です。EWAレポートやNetWeaver Administratorからコンポーネントバージョンは確認可能です。このノートがリリースされた時点ですべてのサポートパッケージが対象とのことでしたので、2020年11月以前に構築された環境は対象となりそうです。

SERVERCORE 7.10, 7.11, 7.20, 7.30, 7.31, 7.40, 7.50

対策方法

対策はサポートパッケージパッチの適用です。注意点として、SERVERCOREコンポーネントはAS JAVAのコアコンポーネントのため、他のコアコンポーネントも同時に最新のパッチ用を行う必要があります。また、パッチ適用時にAS JAVAの停止が入りますので作業中は利用不可となります。

サポートパッケージパッチの適用が難しい場合には以下の暫定対応策があるようです。いずれの場合でもクラスタ間通信をIPsecで保護する必要があります。

  • メッセージサーバのACLを設定する
  • NW機器やOS等にてファイアウォールを設定する
  • ネットワークセグメンテーションにより保護する

コメント

タイトルとURLをコピーしました