【CVE-2024-37171】SAPのsaptmuiとtransportation managementに脆弱性発見、情報漏洩のリスクに

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約
SAPの製品に発見されたサーバサイドリクエストフォージェリの脆弱性
SAP製品の脆弱性の詳細
サーバサイドリクエストフォージェリについて
SAPの脆弱性対応に関する考察
参考サイト

記事の要約

SAP製品に脆弱性が発見された
saptmuiとtransportation managementが影響
サーバサイドリクエストフォージェリの脆弱性

SAPの製品に発見されたサーバサイドリクエストフォージェリの脆弱性

SAPは同社製品のsaptmuiおよびtransportation managementにおいて、サーバサイドのリクエストフォージェリの脆弱性が発見されたことを公表した。この脆弱性はCVSS v3による基本値が5.0（警告）と評価されており、攻撃元区分はネットワーク、攻撃条件の複雑さは低いとされている。また、攻撃に必要な特権レベルは低く、利用者の関与は不要であることが明らかになっている。^[1]

影響を受けるシステムは、saptmuiの140、150、160、170バージョン、およびtransportation managementである。この脆弱性が悪用された場合、情報を取得される可能性があるため、ユーザーに対して注意を呼びかけている。SAPは対策として、ベンダアドバイザリまたはパッチ情報を公開しており、ユーザーに適切な対策の実施を推奨している。

この脆弱性はCVE-2024-37171として識別されており、CWEによる脆弱性タイプはサーバサイドのリクエストフォージェリ（CWE-918）に分類されている。NVDの評価によると、機密性への影響は低いが、完全性と可用性への影響はないとされている。SAPユーザーは、自社システムが影響を受けるかどうかを確認し、必要に応じて速やかに対策を講じることが重要だ。

SAP製品の脆弱性の詳細

項目	詳細
影響を受ける製品	saptmui 140, 150, 160, 170, transportation management
脆弱性の種類	サーバサイドのリクエストフォージェリ
CVSS v3 基本値	5.0 (警告)
攻撃元区分	ネットワーク
攻撃条件の複雑さ	低
必要な特権レベル	低
利用者の関与	不要

サーバサイドリクエストフォージェリについて

サーバサイドリクエストフォージェリ（SSRF）とは、攻撃者が脆弱なサーバーを利用して、通常アクセスできない内部リソースや外部サービスにリクエストを送信させる攻撃手法のことを指す。主な特徴として以下のような点が挙げられる。

内部ネットワークへの不正アクセスが可能
サーバーの権限を悪用してリクエストを送信
ファイアウォールをバイパスする可能性がある

SAPの製品で発見された脆弱性は、このSSRF攻撃を可能にするものだ。攻撃者はこの脆弱性を悪用することで、SAPシステム内の機密情報にアクセスしたり、内部ネットワーク上の他のサービスに不正なリクエストを送信したりする可能性がある。そのため、影響を受ける可能性のあるユーザーは、SAPが提供する修正パッチを適用するなど、速やかな対策が求められる。

SAPの脆弱性対応に関する考察

SAPが今回の脆弱性を迅速に公表し、対策情報を提供したことは評価できる点だ。特に、CVSSスコアや影響を受ける製品バージョンを明確に示したことで、ユーザーは自社システムのリスク評価を行いやすくなった。一方で、この種の脆弱性が発見されたことは、SAPのセキュリティ開発ライフサイクルに改善の余地があることを示唆している。

今後の課題として、SAPはより強固なセキュリティテストプロセスを導入し、製品リリース前にこのような脆弱性を発見・修正する能力を向上させる必要がある。また、ユーザー企業側も、サードパーティ製品のセキュリティリスクを常に評価し、パッチ管理を徹底するプロセスを確立することが重要だ。SAPには、脆弱性情報の提供だけでなく、ユーザーがより容易に対策を実施できるツールや指針の提供も期待したい。

長期的には、SAPがAIを活用した脆弱性検出システムの開発や、セキュリティ研究者とのより密接な協力関係の構築を進めることで、製品のセキュリティ品質を大幅に向上させることができるだろう。また、ユーザー企業向けのセキュリティトレーニングプログラムの拡充も、エコシステム全体のセキュリティレベル向上に貢献すると考えられる。SAPには、これらの取り組みを通じて、より安全で信頼性の高い製品の提供を期待したい。