En ny kritisk sårbarhed, der påvirker SAP Commerce-platformen, blev rapporteret i går.
CVE-2021-21477 i SAP Commerce Platform
CVE-2021-21477 kunne tillade trusselsaktører at udnytte SAP-applikationen, der bruges af e-handelsvirksomheder, fører til fjernudførelse af kode. Fejlen påvirker SAP Commerce-versioner 1808, 1811, 1905, 2005, og 2011. Dens sværhedsgrad er 9.9 ud af ti i henhold til CVSS-skalaen, gør virkningen kritisk. Det er meget tilrådeligt at afbøde sårbarheden så hurtigt som muligt.
Hvordan fungerer sårbarheden?
Det kunne tillade specifikke brugere med krævede rettigheder at redigere Drools-regler, en motor, der skaber reglerne for platformen. Virksomheder bruger disse regler til at navigere i deres komplekse beslutningstagningsvariationer.
Mere specifikt, fejlen stammer fra en bestemt regel, der indeholder en ruleContent-attribut, leverer scripting-faciliteter. En forkert konfiguration af standardbrugerrettighederne, der leveres med SAP-handel, kan give brugere og brugergrupper, der har lavere rettigheder, få tilladelser og ændre DroolsRule-reglen. Denne ændring kunne derefter føre til utilsigtet adgang til de tilsvarende scriptfaciliteter.
Med andre ord, en angriber med lavere privilegier kunne være i stand til at indsprøjte kode i Drools-regelscriptene. Injektionen af en sådan kode skaber en ekstern tilstand til eksekvering af kode, hvilket kan føre til kompromis mellem den underliggende vært.
En patch til CVE-2021-21477 er tilgængelig, Men…
Heldigvis, en patch er allerede frigivet. Men, rettelsen er kun delvis, da den adresserer standardtilladelserne ved initialisering af en ny installation af platformen.
“For eksisterende installationer af SAP Commerce, yderligere manuelle afhjælpningstrin er påkrævet. Den gode nyhed er, at for eksisterende installationer, disse manuelle afhjælpningstrin kan bruges som en fuldstændig løsning til SAP Commerce-installationer, der ikke kan installere de seneste patchudgivelser rettidigt," forklarede sikkerhedsforsker Thomas Fritsch fra Onapsis.
I juli 2020, en anden kritisk sikkerhedssårbarhed blev opdaget i SAP NetWeaver-applikationen, der indeholder en Java-komponent kaldet LM Configuration Wizard. CVE-2020-6287 sårbarhed blev misbrugt af hacking grupper. Antallet af berørte virksomheder, der inkluderer denne software, er omkring 400,000. En uafhængig sikkerhedsrevision afslørede, at der var 2,500 SAP-systemer udsat for Internettet og sårbare over for fejlen.