한국인터넷진흥원 인터넷침해대응센터(http://www.krcert.or.kr) 종합상황실입니다.
우리 원은 민간분야 인터넷침해사고(해킹,웜.바이러스 등)예방 및 대응활동 등을 수행하고 있습니다.
– 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제47조의4(이용자의 정보보호)
– 정보통신망이용촉진및정보보호등에관한법률 제48조의2(침해사고의 대응 등)
– 정보통신망이용촉진및정보보호등에관한법률 제49조의2(속이는 행위에 의한 개인정보의 수집금지 등)
– 정보통신망이용촉진및정보보호등에관한법률 시행령 제56조(침해사고 대응조치-접속경로 차단요청)
SAP社에서 개발한 SAP* 통합 업무용 솔루션의 보안 설정 취약점을 악용한 공격 코드가 공개되어 피해 예방을 위한 적극적인 보안 설정 당부 드립니다.
* Systems, Applications, and Product in Data Processing
아래의 보안공지를 참고하시어 보안조치를 수행하여 주시고,
귀 사의 협력사, 고객사 등이 인지하고 대비할 수 있도록 전파하여 주시기 바랍니다.
o KISA 보호나라 보안공지 링크
* https://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=35020
또한, 본 내용을 협력사, 고객사로 전파하신 경우, 전파한 기업수 확인이 가능하시다면 본 메일로([email protected]) 회신 부탁 드립니다.
□ 개요
o SAP社에서 개발한 SAP* 통합 업무용 솔루션의 보안 설정 취약점을 악용한 공격 코드가 공개되어 피해 예방을 위한 적극적인 보안 설정 당부
* Systems, Applications, and Product in Data Processing
□ 설명
o SAP 게이트웨이 접근통제 부재
– SAP 게이트웨이가 기본적으로 애플리케이션 간 통신을 허용하고 있어 접근제어 설정이 부재(예: gw/acl_mode=0)한 경우 SAP 게이트웨이에서 임의 명령어 실행 가능
o SAP 라우터 보안설정 부재
– SAP 게이트웨이의 secinfo* 보안 설정이 부재한 경우 SAP 라우터에 임의 명령어 실행 가능
* 인증되지 않은 사용자 및 시스템의 명령어 실행을 차단할 수 있는 설정 파일
o SAP 메세지 서버 포트 인증 부재
– SAP 메시지 서버의 특정 포트(TCP/3900번대)에 인증이 부재하여 공격자가 중간자 공격을 통해 계정정보(ID/Password) 탈취 가능
□ 해결 방안
o SAP 게이트웨이 보안 설정
– 보안 설정 파일(gw/acl_mode, secinfo)을 통해 인증된 호스트만 접속할 수 있도록 설정
※ 아래 참고사이트[1]의 SAP Notes 1408081 참고
o SAP 메시지 서버 보안 설정
– 보안 설정 파일(ms/acl_info 파일)을 통해 인증된 호스트만 접속할 수 있도록 설정
※ 아래 참고사이트[2]의 SAP Notes 821875 참고
– SAP 메시지 서버 특정 포트(TCP/3900번대)에 허용된 사용자 및 시스템만 접근할 수 있도록 방화벽 등을 통해 접근제어 설정
o SAP 관련 시스템이 외부에 공개되지 않도록 방화벽 등을 통해 접근 통제 강화
□ 기타 문의사항
o SAP 코리아 연락처 : 080-219-0114
o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118
[참고사이트]
[1] https://launchpad.support.sap.com/#/notes/1408081
[2] https://launchpad.support.sap.com/#/notes/821875
[3] https://launchpad.support.sap.com/#/notes/1421005
[4] https://wiki.scn.sap.com/wiki/display/SI/Gateway+Access+Control+Lists
[5] https://help.sap.com/saphelp_nw74/helpdata/en/e2/16d0427a2440fc8bfc25e786b8e11c/content.htm?no_cache=true[6] https://www.onapsis.com/10kblaze