SAPのグラフィカルユーザーインターフェース(SAP GUI)の入力履歴機能に2つの脆弱性が公開され、ユーザーの機密データがローカルに保存される方法に弱点があることが明らかになりました。
Pathlockによって発見されたこの問題は、SAP GUIのWindows版とJava版の両方に影響を与え、それぞれCVE-2025-0055およびCVE-2025-0056として追跡されています。
脆弱性は、SAP GUIの入力履歴に関連しています。これは、ユーザー名や財務データなどのユーザー入力を保存して反復入力を容易にする使いやすさの機能です。しかし、研究者たちは、保存されたデータが弱く暗号化されているか、まったく暗号化されていないことを発見しました。
「Pathlockの研究は、SAPおよびFortinetと協力して、SAP GUIの‘入力履歴’機能がユーザーが入力した機密値を安全でない方法で保存していることを明らかにしました」とSectigoのシニアフェロー、ジェイソン・ソロコは述べました。
Windowsシステムでは、入力履歴は「%APPDATA%\LocalLow\SAPGUI\Cache\History」にあるSQLite3データベースファイルに保存されます。このファイルは静的なXORベースの暗号化を使用しており、研究者たちはこれを逆転するのは簡単だと説明しています。
「単一の既知の値があれば、そのキーを回復し、データベースの残りを復号化してIDやアカウント番号、その他の業務データを露出させることができます」とソロコは付け加えました。
Java版では、状況はさらに悪化しています。履歴データはシリアライズされたオブジェクトとして保存され、まったく暗号化されていません。
「ローカルまたはリモートのファイルシステムにアクセスできる者は誰でも、履歴ファイルを収集して横方向の移動を加速させたり、説得力のあるスピアフィッシングを作成したり、GDPR、PCI DSS、またはHIPAA違反を引き起こすデータを集めたりすることができます」とソロコは説明しました。
ERPプラットフォームのセキュリティについてもっと読む: 中国関連の脅威アクターが台湾の軍事産業を標的に
Qualysのセキュリティ研究マネージャーであるMayuresh Daniも、リスクの重大性を強調しました。
「CVE-2025-0055およびCVE-2025-0056は、どちらも安全でないローカルデータ保存の実践から生じる重大な組織的リスクを表しています」と彼は言いました。
「この抽出されたデータは、攻撃者に偵察活動のための十分な火薬を提供し、[…]ターゲットユーザーを効果的に妥協し、さらなる攻撃を実行することができます。」
コンプライアンスと緩和の懸念
両方の脆弱性はCVSSスコア6の中程度の評価を持っていますが、コンプライアンスへの影響は重大です。個人識別情報(PII)の不適切な取り扱いは、GDPR、HIPAA、PCI DSS基準の下で監査失敗につながる可能性があります。
これらのリスクを軽減するために:
-
Windows版とJava版の両方で入力履歴機能を無効にする
-
ローカルディレクトリから既存の履歴ファイルを削除する
-
SAP GUIの更新を適用する: Windows 8.00 パッチレベル9以上およびJava 7.80 PL9以上または8.10
「SAPは2025年1月により強力な暗号化の更新を出荷しました」とソロコは述べました。
「しかし、最も安全な方法は、パッチを適用した後でも弱点を完全に排除することです。」
この発見は、SAP NetWeaver Application Server ABAP(CVE-2025-0059)に関連する問題の特定の基礎も築きました。これはSAP GUI for HTMLに影響を与えます。このバリアントには現在パッチは存在しません。
「これらの脆弱性の成功した連鎖と悪用により、脅威アクターは安全でないキーをリバースエンジニアリングし、保存された機密情報にアクセスすることができます」とダニは警告しました。
フォールバックメカニズムがまだアクティブであるため、研究者たちはSAP環境を保護するために入力履歴機能の完全な無効化を重要なステップとして推奨しています。
画像クレジット: Wirestock Creators / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/sap-gui-vulnerable-weak-encryption/