Eine neue kritische Sicherheitslücke, die die SAP Commerce-Plattform betrifft, wurde gestern gemeldet.
CVE-2021-21477 in der SAP Commerce Platform
CVE-2021-21477 könnte es Bedrohungsakteuren ermöglichen, die von E-Commerce-Unternehmen verwendete SAP-Anwendung zu nutzen, was zur Remote-Codeausführung führt. Der Fehler betrifft SAP Commerce-Versionen 1808, 1811, 1905, 2005, und 2011. Sein Schweregrad ist 9.9 von zehn nach der CVSS-Skala, die Auswirkungen kritisch machen. Es wird dringend empfohlen, die Sicherheitsanfälligkeit so schnell wie möglich zu verringern.
Wie funktioniert die Sicherheitsanfälligkeit??
Es könnte bestimmten Benutzern mit den erforderlichen Berechtigungen ermöglichen, Drools-Regeln zu bearbeiten, eine Engine, die die Regeln für die Plattform erstellt. Unternehmen verwenden diese Regeln, um ihre komplexen Entscheidungsvarianten zu steuern.
Genauer, Der Fehler stammt von einer bestimmten Regel, die ein ruleContent-Attribut enthält, Bereitstellung von Skriptfunktionen. Eine Fehlkonfiguration der mit SAP Commerce gelieferten Standardbenutzerberechtigungen kann dazu führen, dass Benutzer und Benutzergruppen mit niedrigeren Berechtigungen Berechtigungen erhalten und die DroolsRule-Regelinhalte ändern. Diese Änderung kann dann zu einem unbeabsichtigten Zugriff auf die entsprechenden Skriptfunktionen führen.
Mit anderen Worten, Ein Angreifer mit niedrigeren Berechtigungen kann möglicherweise Code in die Drools-Regelskripte einfügen. Das Einfügen eines solchen Codes erzeugt eine Ferncodeausführungsbedingung, Dies könnte zum Kompromiss des zugrunde liegenden Hosts führen.
Ein Patch für CVE-2021-21477 ist verfügbar, Aber…
Zum Glück, Ein Patch wurde bereits veröffentlicht. Jedoch, Das Update ist nur teilweise, da es die Standardberechtigungen beim Initialisieren einer neuen Installation der Plattform behandelt.
„Für bestehende Installationen von SAP Commerce, Zusätzliche manuelle Korrekturschritte sind erforderlich. Die gute Nachricht ist, dass für bestehende Installationen, Diese manuellen Korrekturschritte können als vollständige Problemumgehung für SAP Commerce-Installationen verwendet werden, bei denen die neuesten Patch-Versionen nicht rechtzeitig installiert werden können," erklärt Sicherheitsforscher Thomas Fritsch von Onapsis.
Im Juli 2020, Eine weitere kritische Sicherheitslücke wurde in der SAP NetWeaver-Anwendung entdeckt, die eine Java-Komponente namens LM Configuration Wizard enthält. Die Sicherheitsanfälligkeit CVE-2020-6287 wurde von Hacking-Gruppen missbraucht. Die Anzahl der betroffenen Unternehmen, die diese Software enthalten, liegt bei etwa 400,000. Eine unabhängige Sicherheitsüberprüfung ergab, dass es solche gab 2,500 SAP-Systeme, die dem Internet ausgesetzt und für den Fehler anfällig sind.