日本時間で本日早朝、ITMedia さんで「SAP製品の古い脆弱性を突く攻撃横行、日本企業に被害」という記事が掲載されました。タイトルがかなり刺激的なため、まずは客観情報の収集とそれに基づく冷静な判断が肝要かと思います。
(下記状況から本ブログで変に煽りたくありませんので、タイトルは技術的な表現にあえてしています。)
こちらで調べた限りの情報を参考までにお伝えします。
ご判断される際は、くれぐれも慎重にお願いする次第です。
ITMediaさんの記事のソースになっているのは、US-CERT公開日付(2016/5/11)、内容(Invoker Servlet)、引用されているNote番号(1445998)から下記が想定されます。OSS Note.1445998 のMaster(English)の最終バージョン3の公開日が2010/11/25でしたので、5年前にパッチが既に公開されていたという記事の内容とあっています。
その中には対応策として下記のNoteの内容を適用することを推奨していました。
1445998 - Invoker Servlet の無効化(本LINK先閲覧のためには、SAP社MarketplaceIDが別途必要です。)
詳細は本脆弱性を発見したOnapsis社のレポートをレビューするようにあり、Onapsis社のサイトに追加の情報がありました。(こちらはUS-CERTのオフィシャル情報ではありません。)
5年前に出たかなり古いセキュリティパッチなので、SAP社から改めて本件に関する情報が出されるのかというのは正直微妙かもしれません。また記事中には2013年から悪用された事例があったという内容が書かれており、そこからさらに3年経った今なぜこれがセンセーショナルな形で情報が出されたことに関して、現場としては違和感があることは否めません。
