”Den 13. april 2021, SAP Security Patch Day blev frigivet af 14 Sikkerhedsnoter,”Hvoraf den farligste påvirker sit Business Client-produkt.
SAP Business Client Bug
Sårbarheden findes i Business Client-produktet, som er en brugergrænseflade, der fungerer som et indgangspunkt for flere SAP-forretningsapplikationer. Det er bemærkelsesværdigt, at problemet findes i den Chromium-baserede browserkontrol, ikke i selve appen. Tekniske detaljer om fejlen er ikke tilgængelige; indtil nu, det eneste kendte er, at det er klassificeret 10 ud af 10 i form af alvorlighed.
CVE-2021-27602
En anden sårbarhed, der er rettet i denne måneds sæt patches, er CVE-2021-27602, en fejl i SAPs Backoffice-app:
SAP-handel, versioner – 1808, 1811, 1905, 2005, 2011, Backoffice-applikationen giver visse autoriserede brugere mulighed for at oprette kilderegler, der oversættes til sikringsregel, når de udgives til visse moduler i applikationen. En hacker med denne autorisation kan indsprøjte ondsindet kode i kildereglerne og udføre fjernkodekørsel, så de kan kompromittere fortroligheden, applikationens integritet og tilgængelighed, i henhold til beskrivelsen fra National Vulnerability Database.
CVE-2021-21481
Virksomheden adresserede også en sikkerhedsfejl i sit NetWeaver-produkt, identificeret som CVE-2021-21481:
MigrationService, som er en del af SAP NetWeaver-versioner 7.10, 7.11, 7.20, 7.30, 7.31, 7.40, 7.50, udfører ikke en godkendelseskontrol. Dette muligvis giver en uautoriseret angriber adgang til konfigurationsobjekter, herunder sådanne, der giver administrative rettigheder. Dette kan resultere i fuldstændig kompromis med systemets fortrolighed, integritet, og tilgængelighed.
CVE-2021-21481 er også ret alvorlig, med en score på 9.6 ud af 10.
Resten af programrettelserne, der blev frigivet i denne uge, løser adskillige mangler med middel sværhedsgrad. Flere sårbarheder i det samme produkt kan løses med en enkelt sikkerhedsnote, Sagde SAP.
Hackere, der udnytter fejl i SAPs missionskritiske apps
Tidligere i denne måned, vi rapporterede hackere, der udnyttede flere sikkerhedssårbarheder i populære missionskritiske SAP-applikationer. Sårbarhederne muliggjorde fuld overtagelse og giver adgang til de målrettede sårbare organisationer. Virksomheden påpegede, at manglen på rettidig afbødning i mange organisationer normalt efterlader et udnyttelsesvindue åbent for angribere. Derfor, anvendelse af alle sikkerhedsrettelser, når de er gjort tilgængelige, bør prioriteres højt af alle berørte enheder.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: