SAP NetWeaver 및 주요 플랫폼의 치명적 취약점 패치 발표

SAP Patches Critical Vulnerabilities in NetWeaver

 

• SAP 1월 2025 패치 데이 개요
  • SAP는 14개의 새로운 보안 노트를 발표
  • 두 개의 치명적 취약점을 포함하여 NetWeaver 플랫폼 관련 결함 수정
  • 주요 취약점의 CVSS 점수는 9.9로 평가됨
• 치명적 취약점 상세
  • CVE-2025-0070: 부적절한 인증 취약점
    • 내부 RFC 통신에서 자격 증명 탈취 가능
    • 공격자가 외부 프로그램을 내부 호출자로 위장하여 HTTP 클라이언트와 통신 가능
    • 애플리케이션의 기밀성, 무결성, 가용성에 영향
  • CVE-2025-0066: 정보 노출 취약점
    • 특정 조건에서 평문 자격 증명 정보를 읽는 것이 가능
    • 공격자가 다른 시스템과의 통신에 필요한 민감 정보를 탈취 가능
• 기타 주요 취약점
  • CVE-2025-0063: SQL 인젝션 취약점
    • NetWeaver의 Informix 데이터베이스 데이터 탈취 가능
    • CVSS 점수: 8.8
  • CVE-2025-0061, CVE-2025-0060
    • BusinessObjects Business Intelligence 플랫폼에서 고위험 취약점
  • CVE-2025-0069: DLL 하이재킹 취약점
    • SAPSetup 구성 요소에서 발생
  • 기타 중간 및 낮은 위험 취약점은 Business Workflow, Flexible Workflow, NetWeaver, GUI for Windows, BusinessObjects에서 발견됨
• 보안 권고
  • SAP는 해당 취약점이 실제 공격에 사용되었다는 보고는 없으나, 위협 모델상 중요한 결함으로 즉각적인 패치 적용을 권고
  • SAP 사용자는 보안 노트를 검토하고 관련 패치를 신속히 적용할 필요
• 결론
  • SAP의 NetWeaver 플랫폼은 다수의 기업 환경에서 사용되므로 이번 패치는 위협 완화에 있어 필수적
  • 조직은 자격 증명 관리, 통신 보호, SQL 인젝션 방지와 같은 대응책을 마련해야 함
  • 기업은 최신 보안 노트를 검토하고 SAP 패치를 최우선적으로 적용하여 위험을 줄여야 함