United States Computer Emergency Readiness Team (US-CERT)は3月9日(米国時間)、「SAP Releases March 2021 Security Updates|CISA」において、SAPの複数のプロダクトに複数の脆弱性が存在すると伝えた。これら脆弱性を悪用されると、攻撃者によって影響を受けたシステムの制御権が乗っ取られる危険性がある。
脆弱性に関する情報は次のページにまとまっている。
脆弱性が存在するとされるプロダクトは次のとおり。
- SAP Solution Manager (User Experience Monitoring)
- SAP Business Client
- SAP Manufacturing Integration and Intelligence
- SAP NetWeaver AS JAVA (MigrationService)
- SAP HANA
- SAP Enterprise Financial Services (Bank Customer Accounts)
- SAP NetWeaver Knowledge Management
- SAP Payment Engine
- SAP BusinessObjects Business Intelligence Platform (Web Services)
- SAP NetWeaver Application Server Java (Applications based on Web Dynpro Java)
- SAP 3D Visual Enterprise Viewer
- SAP ERP
- SAP S/4 HANA
CVSSスコアで深刻度が緊急(Critical)に分類されるプロダクトが4個、重要(Important)に分類されるプロダクトが1個存在しており注意が必要。Cybersecurity and Infrastructure Security Agency (CISA)はユーザーおよび管理者に対し、上記のセキュリティ情報をチェックするとともに、必要に応じてアップデートを適用することを推奨している。