SAP 전송시스템의 공급망 취약점 발견

Posted: 2022-01-23/Under: SAP/By: thinkmaniac

SAP 업계에서 오랫동안 일했지만 보안 취약점 뉴스는 남의 이야기라고 생각했습니다.

하지만 아래 뉴스를 접하니 SAP 패키지도 예외는 없다는 생각이 듭니다.

앞으로 우리 업계도 보안 취약점을 고민하며 시스템을 구현해야 겠습니다.

“한 번의 침투로 모든 것이 파괴된다” SAP 전송 시스템의 공급망 취약점 발견

https://www.itworld.co.kr/news/222699

SAP 시스템은 기능개선이나 변경 건 이관을 위해 대상 오브젝트를 Request No.에 묶어 2개의 파일로 서버내 특정 디렉토리에 생성하여 릴리즈 시킵니다. 릴리즈된 Request No. 파일은 더이상 수정이 불가능합니다.

Target 시스템에서는 이 파일을 Import하여 변경사항을 DB에 반영하는 방식인데, 위 뉴스를 요약하자면 릴리즈된 파일을 “수정가능” 상태로 변경하여 악성코드를 삽입하는 보안취약점이 발견되었다는 것입니다.

현재, SAP에서는 위 보안취약점(CVE-2021-38178)을 해결하기 위해 note를 제공하고 있으니 관련 담당자께서는 확인 후 아래 노트를 반영하시면 됩니다.

보안취약점 CVE-2021-38178 상세 설명은 아래 링크에서 확인하세요.

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-38178

보안취약점 CVE-2021-38178 을 해결하기 위해 SAP에서 1월 22자에 릴리즈한 노트입니다.

아래 노트를 확인하시고 반영하시면 됩니다.

3097887-CVE-2021-38178-Improper-Authorization-in-SAP-NetWeaver-AS-ABAP-and-ABAP-PlatformDownload

검색해보니, SAP 보안패치 관련한 위키 페이지도 있으니 참고하세요. https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=587169983

Subscribe
Notify of
guest
0 Comments
Inline Feedbacks
View all comments