【CVE-2024-45282】SAP S/4 HANAの銀行取引明細管理アプリケーションで読み取り専用フィールドの改変が可能な脆弱性を確認

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

SAP S/4 HANAのManage Bank Statementsで読み取り専用フィールドが変更可能
MERGEメソッドによる不正な改変が可能な状態
機密性とアベイラビリティへの影響なし

SAP S/4 HANAの銀行取引明細管理アプリケーションに認められた脆弱性

SAPは2024年10月8日、SAP S/4 HANAのManage Bank Statementsアプリケーションにおいて、読み取り専用に設定されたフィールドがMERGEメソッドによって変更可能である脆弱性を公開した。この脆弱性は【CVE-2024-45282】として識別されており、ODataエンティティの不変とされるべきメソッドが外部からの改変に対して適切に保護されていない状態であることが判明している。^[1]

この脆弱性の深刻度はCVSS v3.1で4.3（MEDIUM）と評価されており、攻撃者がネットワークを介してアクセス可能であることが指摘されている。攻撃の実行には低い権限レベルで十分であり、ユーザーの介入も不要とされているが、影響は整合性の低下に限定されており、機密性やアベイラビリティには影響を及ぼさないことが確認されている。

影響を受けるバージョンはS4CORE 102から107までの広範囲に及んでおり、多くのユーザーに影響を与える可能性がある。SAPはこの脆弱性に対する詳細な情報とパッチ情報をセキュリティアドバイザリとして公開しており、影響を受けるシステムの管理者に対して迅速な対応を推奨している。

SAP S/4 HANA脆弱性の影響範囲まとめ

項目	詳細
脆弱性ID	CVE-2024-45282
影響を受けるバージョン	S4CORE 102、103、104、105、106、107
CVSS深刻度	4.3（MEDIUM）
攻撃条件	低い権限レベル、ユーザー介入不要
影響範囲	整合性への影響あり、機密性・可用性への影響なし
脆弱性分類	CWE-650: サーバサイドのHTTPパーミッションメソッドの信頼

HTTPメソッドのパーミッションについて

HTTPメソッドのパーミッションとは、Webアプリケーションにおけるリソースへのアクセス制御を定義する重要な要素であり、各種操作の許可・制限を管理する仕組みのことを指している。主な特徴として以下のような点が挙げられる。

GETやPOST、MERGE、DELETEなど各HTTPメソッドの実行権限を制御
リソースへのアクセス制御とセキュリティの確保に重要
適切な設定により、不正なデータ改変を防止

SAP S/4 HANAの事例では、MERGEメソッドに対する適切なパーミッション制御が実装されておらず、読み取り専用として定義されたフィールドが改変可能な状態となっていた。HTTPメソッドのパーミッション制御が不適切な場合、本来保護されるべきデータの整合性が損なわれる可能性がある。

SAP S/4 HANAの銀行取引明細管理における脆弱性に関する考察

銀行取引明細の管理システムにおける読み取り専用フィールドの保護機能の不備は、金融データの整合性という観点で重要な問題を提起している。特にMERGEメソッドを介した不正な改変が可能な状態は、取引記録の信頼性を損なう可能性があり、金融機関のコンプライアンスやガバナンスにも影響を及ぼす可能性がある。

今後は同様の脆弱性を防ぐため、HTTPメソッドのパーミッション制御をより厳密に実装する必要があるだろう。特にODataエンティティの不変性を保証するメカニズムの強化や、各HTTPメソッドに対する適切なアクセス制御の実装が重要となる。SAPには包括的なセキュリティテストの実施と、より堅牢なアクセス制御機能の実装が期待される。

金融システムのセキュリティ強化は継続的な課題であり、特に取引データの整合性保護は最重要事項の一つとなっている。今後はAIを活用した異常検知システムの導入や、ブロックチェーン技術の活用による取引の透明性確保など、新たなセキュリティ対策の導入も検討に値するだろう。