SAP에서 0-day 취약성 발견하기: 보안 엔지니어의 이야기
2025-04-12
보안 엔지니어가 SAP 프로젝트 작업 중에 SAP setuid 바이너리에서 두 개의 0-day 취약성을 발견하고 로컬 권한 상승을 달성했습니다. 이 블로그 게시물에서는 대상 식별 및 분석부터 악용에 이르기까지 취약성 발견 프로세스를 자세히 설명합니다. 최종적으로 root 권한에 액세스했습니다. SAP SAR 아카이브를 구문 분석하고 조작하기 위해 개발된 SAPCARve라는 도구가 악용에 도움이 되었습니다. 이러한 취약성에는 SAP에서 CVE-2024-47595가 할당되었습니다.
개발
보안 엔지니어링