”Den 13. april 2021, SAP Security Patch Day blev frigivet af 14 Sikkerhedsnoter,”Hvoraf den farligste påvirker sit Business Client-produkt.
SAP Business Client Bug
Sårbarheden findes i Business Client-produktet, som er en brugergrænseflade, der fungerer som et indgangspunkt for flere SAP-forretningsapplikationer. Det er bemærkelsesværdigt, at problemet findes i den Chromium-baserede browserkontrol, ikke i selve appen. Tekniske detaljer om fejlen er ikke tilgængelige; indtil nu, det eneste kendte er, at det er klassificeret 10 ud af 10 i form af alvorlighed.
CVE-2021-27602
En anden sårbarhed, der er rettet i denne måneds sæt patches, er CVE-2021-27602, en fejl i SAPs Backoffice-app:
SAP-handel, versioner – 1808, 1811, 1905, 2005, 2011, Backoffice-applikationen giver visse autoriserede brugere mulighed for at oprette kilderegler, der oversættes til sikringsregel, når de udgives til visse moduler i applikationen. En hacker med denne autorisation kan indsprøjte ondsindet kode i kildereglerne og udføre fjernkodekørsel, så de kan kompromittere fortroligheden, applikationens integritet og tilgængelighed, i henhold til beskrivelsen fra National Vulnerability Database.
CVE-2021-21481
Virksomheden adresserede også en sikkerhedsfejl i sit NetWeaver-produkt, identificeret som CVE-2021-21481:
MigrationService, som er en del af SAP NetWeaver-versioner 7.10, 7.11, 7.20, 7.30, 7.31, 7.40, 7.50, udfører ikke en godkendelseskontrol. Dette muligvis giver en uautoriseret angriber adgang til konfigurationsobjekter, herunder sådanne, der giver administrative rettigheder. Dette kan resultere i fuldstændig kompromis med systemets fortrolighed, integritet, og tilgængelighed.
CVE-2021-21481 er også ret alvorlig, med en score på 9.6 ud af 10.
Resten af programrettelserne, der blev frigivet i denne uge, løser adskillige mangler med middel sværhedsgrad. Flere sårbarheder i det samme produkt kan løses med en enkelt sikkerhedsnote, Sagde SAP.
Hackere, der udnytter fejl i SAPs missionskritiske apps
Tidligere i denne måned, vi rapporterede hackere, der udnyttede flere sikkerhedssårbarheder i populære missionskritiske SAP-applikationer. Sårbarhederne muliggjorde fuld overtagelse og giver adgang til de målrettede sårbare organisationer. Virksomheden påpegede, at manglen på rettidig afbødning i mange organisationer normalt efterlader et udnyttelsesvindue åbent for angribere. Derfor, anvendelse af alle sikkerhedsrettelser, når de er gjort tilgængelige, bør prioriteres højt af alle berørte enheder.